Ds 2007:43

Behandling av personuppgifter i polisens brottsbekämpande verksamhet

3

Innehåll

0H

1 Promemorians huvudsakliga innehåll.........................

141H

13

1H

2 Författningsförslag ..................................................

142H

15

2H

2.1 Förslag till lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet.............................

143H

15

3H

2.2 Förslag till lag om polisens allmänna spaningsregister ......

144H

42

4H

2.3 Förslag till lag om ändring i rättegångsbalken ...................

145H

49

5H

2.4 Förslag till lag om ändring i sekretesslagen (1980:100).....

146H

51

6H

2.5 Förslag till lag om ändring i säkerhetsskyddslagen (1996:627).............................................................................

147H

59

7H

2.6 Förslag till lag om ändring i lagen (1998:620) om belastningsregister ...............................................................

148H

62

8H

2.7 Förslag till lag om ändring i lagen (1998:621) om misstankeregister .................................................................

149H

64

9H

2.8 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem ...........................................

150H

66

10H

2.9 Förslag till lag om ändring i lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet ................

151H

67

Innehåll Ds 2007:43

4

11H

3 Bakgrund................................................................

152H

69

12H

4 Gällande rätt m.m. ..................................................

153H

71

13H

4.1 Inledning...............................................................................

154H

71

14H

4.2 Internationella överenskommelser och personuppgiftslagen...............................................................................

155H

72

15H

4.2.1 Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna ...................................................................

156H

72

16H

4.2.2 Dataskyddskonventionen m.m. ...............................

157H

73

17H

4.2.3 Europarådets rekommendation No. R (87) 15 .......

158H

75

18H

4.2.4 Europeiska unionens stadga om de grundläggande rättigheterna...............................................

159H

75

19H

4.2.5 Dataskyddsdirektivet och personuppgiftslagen......

160H

76

20H

4.2.6 Europol......................................................................

161H

79

21H

4.3 Den nuvarande polisregisterlagstiftningen.........................

162H

80

22H

4.3.1 Allmänt om polisregisterlagstiftningen...................

163H

80

23H

4.3.2 Särskilt om polisdatalagen ........................................

164H

80

24H

4.4 EU-initiativ m.m. .................................................................

165H

81

25H

5 Polisens register ......................................................

166H

85

26H

5.1 Register och ärendehanteringssystem.................................

167H

85

27H

5.2 Allmänt om polisens register...............................................

168H

86

28H

6 En ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet .....................

169H

89

29H

6.1 Bestämmelserna om polisens användning av personuppgifter behöver reformeras ..................................

170H

89

30H

6.2 En ny lag införs ....................................................................

171H

93

Innehåll

5

31H

6.3 Lagens tillämpningsområde.................................................

172H

95

32H

6.4 Skyddet för den personliga integriteten ...........................

173H

100

33H

6.5 Den nya lagen och personuppgiftslagen...........................

174H

106

34H

6.5.1 Förhållandet till personuppgiftslagen....................

175H

106

35H

6.5.2 Tillämpliga bestämmelser i personuppgiftslagen.........................................................................

176H

110

36H

6.6 Personuppgiftsansvar.........................................................

177H

124

37H

6.7 Tillgången till personuppgifter..........................................

178H

125

38H

7 Tillåtna ändamål för behandlingen ..........................

179H

127

39H

7.1 Tydliga och konkreta ändamål för behandling av personuppgifter..................................................................

180H

127

40H

7.2 Förebygga, förhindra och upptäcka brottslig verksamhet.................................................................................

181H

130

41H

7.3 Utreda och beivra brott .....................................................

182H

136

42H

7.4 Internationellt samarbete ..................................................

183H

138

43H

7.5 Behandling av uppgifter för diarieföring m.m..................

184H

141

44H

7.6 Behandling av uppgifter för att tillhandahålla information till andra.........................................................

185H

143

45H

8 Behandling av känsliga personuppgifter m.m. ..........

186H

151

46H

9 Gemensamt tillgängliga uppgifter ...........................

187H

155

47H

9.1 Särskilda regler bör gälla för behandling av gemensamt tillgängliga uppgifter .................................................

188H

155

48H

9.2 Förebygga, förhindra och upptäcka brottslig verksamhet.................................................................................

189H

161

Innehåll Ds 2007:43

6

49H

9.3 Utreda och beivra brott .....................................................

190H

170

50H

9.4 Särskilt om behandlingen av uppgifter som rapporterats till polisens kommunikationscentraler ........

191H

173

51H

9.5 Gemensamt tillgängliga uppgifter i det internationella samarbetet...........................................................................

192H

175

52H

10 Särskilda upplysningar för gemensamt tillgängliga uppgifter ..............................................................

193H

179

53H

11 Sökbegränsningar för gemensamt tillgängliga uppgifter ..............................................................

194H

185

54H

11.1 Känsliga personuppgifter som sökbegrepp ......................

195H

185

55H

11.2 Sökning på namn, firma, personnummer, samordningsnummer eller organisationsnummer ........................

196H

187

56H

12 Informationsutbyte mellan de brottsbekämpande myndigheterna ......................................................

197H

193

57H

12.1 Allmänt om behovet av ett effektivt informationsutbyte mellan svenska brottsbekämpande myndigheter ....................................................................................

198H

193

58H

12.2 Allmänt om behovet av informationsutbyte i det internationella samarbetet .................................................

199H

197

59H

12.3 Elektroniskt informationsutbyte ......................................

200H

198

60H

12.3.1 Olika former av elektroniskt utlämnande av uppgifter ..................................................................

201H

198

61H

12.3.2 Begreppet direktåtkomst........................................

202H

199

62H

12.3.3 Nuvarande möjligheter till direktåtkomst.............

203H

201

63H

12.3.4 De brottsbekämpande myndigheternas behov av tillgång till uppgifter i polisens brottsbekämpande verksamhet ............................................

204H

202

Innehåll

7

64H

12.3.5 Direktåtkomst för övriga brottsbekämpande myndigheter ............................................................

205H

216

65H

12.3.6 Direktåtkomst för utländska myndigheter ...........

206H

223

66H

13 Sekretess och uppgiftsskyldighet m.m.....................

207H

225

67H

13.1 Allmänna utgångspunkter .................................................

208H

225

68H

13.2 Sekretessgenombrott .........................................................

209H

229

69H

13.3 Uppgiftslämnande till utlandet .........................................

210H

241

70H

14 Utlämnande av uppgifter på medium för automatiserad behandling ......................................

211H

253

71H

15 Särskilt om uppgifter på Internet ............................

212H

257

72H

16 Gallring av uppgifter ..............................................

213H

261

73H

16.1 Gallring av uppgifter som inte har gjorts gemensamt tillgängliga ..........................................................................

214H

261

74H

16.2 Gallring av gemensamt tillgängliga uppgifter...................

215H

264

75H

16.3 Särskilt om uppgifter i förundersökningar och liknande brottsutredningar................................................

216H

269

76H

17 Särskilda bestämmelser om vissa register ................

217H

279

77H

17.1 Allmänna utgångspunkter .................................................

218H

279

78H

17.2 Register med uppgifter om resultat av DNA-analyser....

219H

282

79H

17.3 Fingeravtrycks- eller signalementsregister .......................

220H

284

80H

17.4 Penningtvättsregister .........................................................

221H

288

Innehåll Ds 2007:43

8

81H

18 Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet................................

222H

293

82H

18.1 Bakgrund.............................................................................

223H

293

83H

18.1.1 Säkerhetspolisens organisation och uppgifter.......

224H

293

84H

18.1.2 Nuvarande behandling av personuppgifter hos Säkerhetspolisen......................................................

225H

295

85H

18.2 Behovet av särskilda bestämmelser för personuppgiftsbehandling hos Säkerhetspolisen ...............................

226H

299

86H

18.3 Den nya regleringen i huvuddrag ......................................

227H

300

87H

18.4 Ändamålen med behandlingen ..........................................

228H

302

88H

18.4.1 Tydliga och konkreta ändamål ...............................

229H

302

89H

18.4.2 Primära ändamål......................................................

230H

303

90H

18.4.3 Behandling av uppgifter för att tillhandahålla information till andra..............................................

231H

311

91H

18.5 Vissa allmänna bestämmelser som bör gälla även för Säkerhetspolisen.................................................................

232H

315

92H

18.6 Gemensamt tillgängliga uppgifter .....................................

233H

317

93H

18.6.1 Allmänna utgångspunkter ......................................

234H

317

94H

18.6.2 Utlämnande av uppgifter på medium för automatisk behandling............................................

235H

320

95H

18.6.3 Särskilda upplysningar ............................................

236H

321

96H

18.6.4 Sökbegränsningar....................................................

237H

323

97H

18.6.5 Gallring....................................................................

238H

327

98H

19 Tillsyn ..................................................................

239H

331

99H

20 En ny lag om polisens spaningsregister ....................

240H

339

100H

20.1 Behovet av det allmänna spaningsregistret .......................

241H

339

101H

20.2 En ny lagreglering ..............................................................

242H

341

Innehåll

9

102H

20.3 Utformningen av regleringen............................................

243H

343

103H

20.3.1 Förhållandet till annan lagstiftning om polisregister och till personuppgiftslagen .....................

244H

343

104H

20.3.2 Ändamålet med registret ........................................

245H

344

105H

20.3.3 Innehållet i registret ...............................................

246H

347

106H

20.3.4 Behandling av känsliga personuppgifter................

247H

353

107H

20.3.5 Särskilda upplysningar och sökbegränsningar ......

248H

355

108H

20.3.6 Utlämnande av uppgifter ur registret ....................

249H

357

109H

20.3.7 Gallring....................................................................

250H

362

110H

20.3.8 Övriga frågor...........................................................

251H

364

111H

21 Följdändringar ......................................................

252H

367

112H

22 Kustbevakningens åtkomst till vissa register.............

253H

371

113H

23 Ikraftträdande och övergångsbestämmelser ..............

254H

375

114H

23.1 Ikraftträdande.....................................................................

255H

375

115H

23.2 Övergångsbestämmelser....................................................

256H

376

116H

24 Kustbevakningens personuppgiftsbehandling ...........

257H

381

117H

24.1 Bakgrund ............................................................................

258H

381

118H

24.2 Kustbevakningens verksamhet..........................................

259H

381

119H

24.2.1 Allmänt....................................................................

260H

381

120H

24.2.2 Brottsbekämpande verksamhet..............................

261H

383

121H

24.3 Regleringen av Kustbevakningens personuppgiftsbehandling ..........................................................................

262H

385

122H

24.4 Samverkan och informationsutbyte med andra brottsbekämpande myndigheter .................................................

263H

386

Innehåll Ds 2007:43

10

123H

24.5 Enhetlig reglering av grundläggande principer för personuppgiftsbehandling i brottsbekämpande verksamhet .................................................................................

264H

388

124H

25 Ekonomiska konsekvenser ......................................

265H

393

125H

26 Författningskommentar ..........................................

266H

395

126H

26.1 Förslaget till lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet ...........................

267H

395

127H

26.2 Förslaget till lag om polisens allmänna spaningsregister ................................................................................

268H

491

128H

26.3 Förslaget till lag om ändring i rättegångsbalken ..............

269H

513

129H

26.4 Förslaget till lag om ändring i sekretesslagen (1980:100)...........................................................................

270H

514

130H

26.5 Förslaget till lag om ändring i säkerhetsskyddslagen (1996:627)...........................................................................

271H

519

131H

26.6 Förslaget till lag om ändring i lagen (1998:620) om belastningsregister..............................................................

272H

521

132H

26.7 Förslaget till lag om ändring i lagen (1998:621) om misstankeregister................................................................

273H

523

133H

26.8 Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem .........................................

274H

524

134H

26.9 Förslaget till lag om ändring i lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet...............

275H

524

Bilaga 1

135H

Sammanfattning av SOU 2001:92 Behandling av personuppgifter i polisens verksamhet..................................................

276H

527

Innehåll

11

Bilaga 2

136H

Polisdatautredningens lagförslag ...................

277H

541

Bilaga 3

137H

Förteckning över de remissinstanser som yttrat sig över Polisdatautredningens betänkande .................................................

278H

589

Bilaga 4

138H

Kustbevakningens framställan om åtkomst till belastningsregistret och misstankeregistret ......................................................

279H

591

Bilaga 5

139H

Förteckning över de remissinstanser som yttrat sig över Kustbevakningens framställan...

280H

593

Bilaga 6

140H

Polisens register ..........................................

281H

595

13

1 Promemorians huvudsakliga innehåll

Promemorian innehåller förslag till en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Lagen ersätter polisdatalagen (1998:622). Det övergripande syftet med den nya lagen är att skydda människor mot att deras personliga integritet kränks vid polisens behandling av personuppgifter.

Den nya lagen har tagits fram för att komma till rätta med olika problem som den nuvarande regleringen har visat sig ge upphov till, bl.a. när det gäller möjligheten att behandla personuppgifter för att förebygga, förhindra och upptäcka brottslig verksamhet. Den nya lagen skapar också förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom ändrade bestämmelser om utlämnande av uppgifter. Regleringen är teknikneutral.

Lagen är heltäckande och reglerar, med några få undantag, all polisens behandling av personuppgifter i den brottsbekämpande verksamheten vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgifter ska få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra de förpliktelser som följer av internationella åtaganden. Särskilda bestämmelser föreslås för sådan behandling som sker hos Säkerhetspolisen. För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till (gemensamt tillgängliga uppgifter) föreslås olika begränsande bestämmelser för att trygga

Promemorians huvudsakliga innehåll Ds 2007:43

14

den personliga integriteten. Det föreslås också en särskild lag som reglerar polisens allmänna spaningsregister.

Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis den hjälpande verksamheten, omfattas inte av lagförslagen utan förutsätts, liksom i dag, regleras av personuppgiftslagen (1998:204).

Den föreslagna lagregleringen medför följdändringar i ett antal andra författningar.

I promemorian övervägs också vissa frågor om Kustbevakningens behandling av personuppgifter. Bedömningen görs att de grundläggande principer som föreslås gälla för polisens behandling av personuppgifter i den brottsbekämpande verksamheten i flera avseenden bör gälla i en kommande reglering för Kustbevakningens behandling av personuppgifter i sådan verksamhet.

Vidare föreslås att Kustbevakningen ska få tillgång till uppgifter ur misstankeregistret och belastningsregistret i sin brottsbekämpande verksamhet.

Lagförslagen föreslås träda i kraft den 1 januari 2009. Promemorian har tagits fram av en arbetsgrupp bestående av tjänstemän i Justitiedepartementet. Promemorians överväganden är därför skrivna i vi-form.

15

2 Författningsförslag

2.1 Förslag till lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Lagens tillämpningsområde m.m.

2 § Denna lag gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 2 kap. 4 § andra stycket och 10 § gäller även vid andra myndigheters behandling av uppgifter som har lämnats ut genom direktåtkomst med stöd av denna lag.

Författningsförslag Ds 2007:43

16

Lagen gäller inte vid sådan behandling av personuppgifter som sker enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2008:000) om polisens allmänna spaningsregister. Den gäller inte heller vid insamling av personuppgifter genom allmän kameraövervakning, hemlig teleavlyssning, hemlig teleövervakning, hemlig kameraövervakning eller hemlig rumsavlyssning.

3 § Följande bestämmelser gäller även vid behandling av uppgifter om juridiska personer:

1. 2 kap. 4 § om personuppgiftsansvar,

2. 2 kap. 5–7 §§ om ändamålen för behandlingen,

3. 2 kap. 11 § om gallring,

4. 3 kap. 1–18 §§ om gemensamt tillgängliga uppgifter,

5. 4 kap. 20–22 §§ om behandling av uppgifter i penningtvättsregister,

6. 5 kap. 2–4 §§ om ändamålen för behandlingen hos Säkerhetspolisen,

7. 5 kap. 6 § om Säkerhetspolisens personuppgiftsansvar,

8. 5 kap. 7 § om gallring hos Säkerhetspolisen, och

9. 5 kap. 8–17 §§ om gemensamt tillgängliga uppgifter hos Säkerhetspolisen.

Vad som sägs i de angivna paragraferna om personuppgifter ska därvid avse uppgifter om juridiska personer.

4 § I 2 kap. finns allmänna bestämmelser om sådan behandling av personuppgifter som omfattas av lagen. För behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även bestämmelserna i 3 kap. För behandling i register med uppgifter om resultat av DNA-analyser, fingeravtrycksregister, signalementsregister eller penningtvättsregister, gäller dock särskilda bestämmelser i 4 kap. i stället för bestämmelserna i 3 kap.

Bestämmelserna i 5 kap. gäller för behandling av personuppgifter i Säkerhetspolisens verksamhet. Vid sådan behandling ska

Ds 2007:43 Författningsförslag

17

bestämmelserna i 2–4 kap. tillämpas endast i den utsträckning som framgår av 5 kap.

2 kap. Allmänna bestämmelser om personuppgiftsbehandling i polisens brottsbekämpande verksamhet

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § första stycket a), b) och e)–h) om grundläggande krav på behandling,

4. 22 § om behandling av personnummer,

5. 23 § och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30–32 §§ om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 36 § andra stycket och 38–41 §§ om personuppgiftsombud m.m.,

10. 42 § om upplysningar till allmänheten om vissa behandlingar,

11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.

Var och en av de myndigheter som avses i 1 kap. 2 § ska utse ett eller flera personuppgiftsombud.

Information enligt 23 § personuppgiftslagen behöver inte lämnas om uppgifterna samlas in i samband med larm och det

Författningsförslag Ds 2007:43

18

med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Tillsyn

3 § Utöver de bestämmelser om tillsyn som avses i 2 § första stycket 11 finns bestämmelser om tillsyn i 1 § lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet.

Personuppgiftsansvar m.m.

4 § Rikspolisstyrelsen eller polismyndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

En myndighet som har direktåtkomst till uppgifter enligt denna lag ansvarar för att åtkomsten begränsas enligt 10 §.

Ändamål med behandlingen av personuppgifter

5 § Personuppgifter får, om inte annat följer av 6 eller 7 §, behandlas endast om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden.

6 § Om personuppgifter behandlas enligt 5 §, får de även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

Ds 2007:43 Författningsförslag

19

3. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen, eller

4. annan myndighets verksamhet, om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift.

Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 5 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

7 § Personuppgifter får alltid behandlas om

1. behandlingen är nödvändig för diarieföring, eller

2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

8 § Uppgifter om en person får inte behandlas på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Trots bestämmelsen i första stycket får uppgifter om en person som behandlas på annan grund kompletteras med uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas om

1. behandlingen är nödvändig för diarieföring, eller

2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Författningsförslag Ds 2007:43

20

Behandling av uppgifter om resultat av DNA-analyser

9 § Uppgifter om resultat av DNA-analyser får endast behandlas

1. i en förundersökning, eller

2. enligt bestämmelserna i 4 kap. om behandling i DNAregister, utredningsregister och spårregister.

Tillgången till personuppgifter

10 § Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Gallring

11 § Personuppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet avslutades. Personuppgifter som inte kan hänföras till ett ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången.

Bestämmelserna i första stycket gäller inte

1. uppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken,

2. uppgifter som har gjorts gemensamt tillgängliga, och

3. uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

Utlämnande av uppgifter och uppgiftsskyldighet

12 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

13 § Personuppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en interna-

Ds 2007:43 Författningsförslag

21

tionell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Om det är förenligt med svenska intressen, får uppgifter vidare lämnas

1. till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till Interpol eller Europol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, upptäcka, utreda eller beivra brott, eller

2. till utländsk underrättelse- eller säkerhetstjänst. Av 1 kap. 3 § tredje stycket sekretesslagen (1980:100) följer att uppgifter får lämnas till en utländsk myndighet eller en mellanfolklig organisation även i vissa andra fall.

14 § Utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 §sekretesslagen (1980:100) ska personuppgifter som har gjorts gemensamt tillgängliga hos polisen lämnas till Rikspolisstyrelsen, polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, om den mottagande myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet.

Första stycket gäller inte uppgifter som behandlas i särskilda register med stöd av 4 kap.

15 § Uppgift om huruvida en person förekommer i register med uppgifter om resultat av DNA-analyser ska utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 §sekretesslagen (1980:100) lämnas till polismyndighet, Åklagarmyndigheten och Ekobrottsmyndigheten, om den mottagande myndigheten har behov av uppgiften i sin brottsbekämpande verksamhet.

16 § Personuppgifter som behandlas i fingeravtrycks- eller signalementsregister med stöd av 4 kap. 14–19 §§ ska utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 §sekretesslagen (1980:100) lämnas till polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatte-

Författningsförslag Ds 2007:43

22

verket, om den mottagande myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet

17 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut även i andra fall än som sägs i 12–16 §§.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal bestämda personer inom polisen har rätt att ta del av anses inte som gemensamt tillgängliga.

Personuppgifter som får göras gemensamt tillgängliga

2 § Endast följande personuppgifter får göras gemensamt tillgängliga.

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad eller kan antas vara farlig för annans personliga säkerhet.

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4. Uppgifter som behövs för att fullgöra de förpliktelser som följer av internationella åtaganden.

5. Uppgifter som har rapporterats till polisens kommunikationscentraler.

Ds 2007:43 Författningsförslag

23

Uppgifter om resultat av DNA-analyser får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap.

Uppgifter som avses i första stycket 4 får göras gemensamt tillgängliga endast om det behövs för att fullgöra den aktuella förpliktelsen.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om huruvida en person är föremål för övervakning får dock göras tillgänglig för flera.

Särskilda upplysningar

3 § Vid behandling enligt 1 § ska personuppgifterna förses med en särskild upplysning om det närmare ändamålet med behandlingen. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska det också lämnas upplysning om detta. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska uppgifterna förses med en särskild upplysning om att personen inte är misstänkt. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

Författningsförslag Ds 2007:43

24

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Vad som sägs i första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning i gemensamt tillgängliga uppgifter på namn, firma, personnummer, samordningsnummer, organisationsnummer eller andra liknande identitetsbeteckningar får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är misstänkt för brott eller för brottslig verksamhet som avses i 2 § första stycket 1,

3. övervakas enligt 2 § första stycket 2,

4. har anmält ett brott eller är målsägande i ett ärende som rör ansvar för brott,

5. är vittne eller annars ska höras eller avge yttrande i ett ärende,

6. har gett in eller tillhandahållits en handling, eller

7. är anmäld försvunnen.

7 § Bestämmelsen i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet eller vissa preciserade kriminella grupperingar och som enbart de som arbetar i undersökningen eller som omfattas av andra stycket 2 har åtkomst till.

Bestämmelsen i 6 § gäller inte heller vid sökning som

1. sker för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, och

Ds 2007:43 Författningsförslag

25

2. utförs av särskilt angivna tjänstemän med uppgift att undersöka den brottsliga verksamheten eller övervaka personer enligt 2 § första stycket 2.

Om det finns särskilda skäl får, trots bestämmelsen i 6 §, sökning även ske för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver, om sökningen utförs av särskilt angivna tjänstemän.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om och under vilka förutsättningar sökning får äga rum med stöd av andra eller tredje stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

8 § Endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

9 § Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

10 § Regeringen meddelar föreskrifter om att utländsk myndighet får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet i den utsträckning detta är nödvändigt för fullgörandet av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Direktåt-

Författningsförslag Ds 2007:43

26

komsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Behandling av uppgifter i brottsanmälningar

11 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i polisens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får uppgifterna inte behandlas i polisens brottsbekämpande verksamhet efter det att det påstådda brottet har preskriberats.

Behandling av uppgifter i avslutade förundersökningar

12 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får uppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år sedan domen, eller det beslut som meddelades med anledning av talan, vann laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal får uppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter åklagarens eller förundersökningsledarens beslut. Om det i samband med beslutet anges att brottet, trots nedläggningsbeslutet, kan komma att bli föremål för lagföring, får dock behandling ske även senare fram till dess att brottet har preskriberats.

Vad som sägs i första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

13 § Trots bestämmelserna i 12 § får personuppgifter i en förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken behandlas i polisens brottsbekämpande verksamhet, om det behövs för att återuppta förun-

Ds 2007:43 Författningsförslag

27

dersökningen eller utredningen eller för en prövning enligt 58 eller 59 kap. rättegångsbalken. Om det finns särskilda skäl, får uppgifterna även behandlas, om det behövs för en utredning som avser brott, för vilket är föreskrivet fängelse i fyra år eller däröver, eller för en undersökning av brottslig verksamhet som innefattar sådant brott.

14 § Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, om åtal har lagts ned eller om frikännande dom, som har vunnit laga kraft, har meddelats, får en uppgift om att personen är misstänkt för brott inte längre vara sökbar, om inte förundersökningsledaren har beslutat att återuppta förundersökningen eller fråga är om prövning enligt 58 eller 59 kap. rättegångsbalken.

Användning av arkiverade uppgifter m.m.

15 § Bestämmelserna i 11–14 §§ hindrar inte att personuppgifter i brottsanmälningar, förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken arkiveras och gallras enligt bestämmelserna i arkivlagen (1990:782). För användningen av arkiverade uppgifter i polisens brottsbekämpande verksamhet gäller dock de begränsningar som anges i 11–14 §§.

Gallring

16 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras enligt bestämmelserna i andra–sjätte styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Om den person som uppgiften avser inte är eller varit misstänkt, ska uppgiften gallras senast tre år efter det att den behandlades automatiserat första gången.

Författningsförslag Ds 2007:43

28

Uppgifter som har behandlats i samband med sådan övervakning som avses i 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende den övervakade personen gjordes. Om en uppgift inte avser den övervakade personen, ska uppgiften gallras senast tre år efter det att den behandlades automatiserat första gången.

Uppgifter som har behandlats med stöd av 2 § första stycket 4 ska gallras senast ett år efter det att ärendet i vilket uppgifterna behandlades avslutades.

Uppgifter som har behandlats med stöd av 2 § första stycket 5 ska gallras senast ett år efter det att de behandlades automatiserat första gången.

Den tid under vilken en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

17 § Bestämmelserna i 16 § gäller inte

1. personuppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken, och

2. uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

I fråga om behandling av sådana personuppgifter som anges i första stycket 1 gäller vad som sägs i 11–15 §§.

18 § Vad som föreskrivs i 11–16 §§ hindrar inte att regeringen meddelar föreskrifter om att uppgifter i vissa särskilda fall får behandlas och bevaras under längre tid än vad som anges där.

Ds 2007:43 Författningsförslag

29

4 kap. Register

Register med uppgifter om resultat av DNA-analyser

Ändamål m.m.

1 § Med DNA-analys förstås varje förfarande som kan användas för analys av deoxyribonukleinsyra.

2 § Rikspolisstyrelsen får föra register över uppgifter om resultat av DNA-analyser i enlighet med 3–13 §§ (DNA-register, utredningsregister och spårregister). Utöver för de ändamål som anges i 2 kap. får sådana register föras för att underlätta identifiering av avlidna personer.

DNA-register

3 § Ett DNA-register får innehålla uppgifter om resultatet av DNA-analyser som har gjorts med stöd av bestämmelserna i 28 kap. rättegångsbalken och som avser personer som

1. genom lagakraftvunnen dom har dömts till annan påföljd än böter, eller

2. har godkänt ett strafföreläggande som avser villkorlig dom.

4 § Registreringen av resultatet av en DNA-analys ska begränsas till uppgifter som ger information om den registrerades identitet. Analysresultat som kan ge upplysning om den registrerades personliga egenskaper får inte registreras.

Utöver vad som sägs i första stycket får DNA-registret endast innehålla upplysningar som visar i vilket ärende analysen har gjorts och vem analysen avser.

Utredningsregister

5 § Ett utredningsregister får innehålla uppgifter om resultatet av DNA-analyser som har gjorts med stöd av bestämmelserna i

Författningsförslag Ds 2007:43

30

28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket fängelse kan följa.

Vad som anges i 4 § gäller också vid registrering i utredningsregistret.

Spårregister

6 § Ett spårregister får innehålla uppgifter om resultatet av DNA-analyser som har gjorts under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver uppgifter om analysresultat får spårregistret endast innehålla upplysningar som visar i vilket ärende analysen har gjorts.

7 § Uppgifter i ett spårregister får endast jämföras med analysresultat

1. som inte kan hänföras till en identifierbar person,

2. som finns i DNA-registret, eller

3. som kan hänföras till en person som är skäligen misstänkt för brott.

Gallring

8 § Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i utredningsregistret ska gallras senast när uppgifterna om den registrerade får föras in i DNA-registret eller när förundersökning eller åtal läggs ned, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter i spårregistret ska gallras senast trettio år efter registreringen.

Ds 2007:43 Författningsförslag

31

Särskilda bestämmelser om prov för DNA-analys

9 § Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys, får provet inte användas för något annat ändamål än det för vilket det togs.

10 § Ett prov för DNA-analys som har tagits med stöd av bestämmelserna i 28 kap.1212 b §§rättegångsbalken ska förstöras senast sex månader efter det att provet togs.

Om uppgifterna i utredningsregistret ska gallras vid en tidigare tidpunkt enligt 8 §, ska även det prov som avser den registrerade förstöras senast vid samma tidpunkt.

Om provet har tagits från någon som inte är skäligen misstänkt för brott, ska provet förstöras så snart målet eller ärendet slutligt har avgjorts.

Utlämnande av uppgifter på medium för automatiserad behandling

11 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för utlämnande av uppgifter om resultat av DNA-analyser.

Direktåtkomst

12 § Statens kriminaltekniska laboratorium, polismyndigheter, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till register med uppgifter om resultat av DNAanalyser.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

13 § Regeringen meddelar föreskrifter om att utländsk myndighet får medges direktåtkomst till register med uppgifter om resultat av DNA-analyser i den utsträckning detta är nödvändigt för fullgörandet av en internationell överenskommelse som Sve-

Författningsförslag Ds 2007:43

32

rige efter riksdagens godkännande har tillträtt. Åtkomsten ska begränsas till uppgift om huruvida någon förekommer i registret.

Fingeravtrycks- eller signalementsregister

Ändamål

14 § Rikspolisstyrelsen får föra fingeravtrycks- eller signalementsregister i enlighet med 15–19 §§. Utöver för de ändamål som anges i 2 kap. får sådana register föras för att underlätta identifiering av okända personer.

Innehåll

15 § Ett fingeravtrycks- eller signalementsregister får endast innehålla uppgifter om den som är misstänkt eller dömd för brott eller som har fått lämna fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. I ett sådant register får endast antecknas uppgifter om

1. fingeravtryck,

2. signalement,

3. identifieringsuppgifter,

4. ärendenummer, och

5. brottskoder. Fingeravtrycks- eller signalementsregister får inte innehålla uppgifter som har lämnats av en person under femton år enligt 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Gallring

16 § Uppgifter i ett fingeravtrycks- eller signalementsregister om en misstänkt person ska gallras senast

1. tio år efter registreringen, om denna skett på grund av misstanke om brott för vilket det inte föreskrivs strängare straff än fängelse i två år,

Ds 2007:43 Författningsförslag

33

2. femton år efter registreringen, om denna skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än fängelse i två år men inte strängare straff än fängelse i åtta år,

3. tjugofem år efter registreringen, om denna skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än fängelse i åtta år,

4. tre månader efter det att åtal mot personen har lagts ned eller efter att personen genom lagakraftvunnen dom har frikänts, eller

5. tre månader efter det att en förundersökning mot personen har lagts ned.

Om en person blir misstänkt för ett nytt brott före utgången av den tid som anges i första stycket 1, 2 eller 3 får de uppgifter som finns registrerade om personen bevaras till dess att den senare registreringen avseende personen ska gallras enligt första stycket.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll ska gallras när uppgifterna inte längre behövs för ändamålet med behandlingen eller enligt föreskrifter som regeringen meddelar.

Utlämnande av uppgifter på medium för automatiserad behandling

17 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för utlämnande av uppgifter i ett fingeravtrycks- eller signalementsregister.

Direktåtkomst

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i ett fingeravtrycks- eller signalementsregister.

Författningsförslag Ds 2007:43

34

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

19 § Regeringen meddelar föreskrifter om att utländsk myndighet får medges direktåtkomst till ett fingeravtrycks- eller signalementsregister i den utsträckning detta är nödvändigt för fullgörandet av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Åtkomsten ska begränsas till uppgift om huruvida någon förekommer i registret.

Penningtvättsregister

Ändamål m.m.

20 § Rikspolisstyrelsen får behandla uppgifter i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka

1. brottslig verksamhet där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2. brottslig verksamhet som innefattar brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, m.m.

I ett sådant register får endast behandlas uppgifter som kan antas ha samband med sådan misstänkt brottslig verksamhet som avses i första stycket 1 och 2, uppgifter som har rapporterats till myndigheten med stöd av bestämmelser i lag eller annan författning och uppgifter som har lämnats av en utländsk myndighet som ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i första stycket 1 och 2 i det landet.

Gallring

21 § Personuppgifter i ett penningtvättsregister ska gallras senast fem år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Ds 2007:43 Författningsförslag

35

Första stycket gäller inte om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att uppgifter ska bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av uppgifter på medium för automatiserad behandling

22 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för uppgifter i ett penningtvättsregister.

5 kap. Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Allmänna bestämmelser

1 § Detta kapitel innehåller bestämmelser om behandling av personuppgifter hos Säkerhetspolisen i dess brottsbekämpande verksamhet.

Ändamål

2 § I Säkerhetspolisens brottsbekämpande verksamhet får, om inte annat följer av 3 eller 4 §, personuppgifter behandlas endast om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet,

b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, m.m., eller

d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

Författningsförslag Ds 2007:43

36

3. fullgöra bevaknings- och säkerhetsarbete avseende personskydd,

4. fullgöra de uppgifter som följer av säkerhetsskyddslagen (1996:627),

5. fullgöra de förpliktelser som följer av internationella åtaganden, eller

6. lämna tekniskt biträde till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.

3 § Om personuppgifter behandlas enligt 2 §, får de även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, om det finns särskilda skäl att tillhandahålla informationen, eller

3. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation.

Personuppgifter som behandlas enligt 2 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 2 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter.

4 § Bestämmelserna i 2 kap. 7 § om diarieföring av personuppgifter m.m. gäller även för behandling av personuppgifter hos Säkerhetspolisen.

Ds 2007:43 Författningsförslag

37

Tillämpliga bestämmelser i 2 kap.

5 § Följande bestämmelser i 2 kap. ska tillämpas vid behandling av personuppgifter hos Säkerhetspolisen:

1. 1 och 2 §§ om förhållandet till personuppgiftslagen,

2. 3 § om tillsyn,

3. 8 § om behandling av känsliga personuppgifter,

4. 9 § om behandling av uppgifter om resultatet av DNAanalyser,

5. 10 § om tillgången till uppgifter, och

6. 12, 13 och 17 §§ om utlämnande av uppgifter.

Personuppgiftsansvar

6 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

Gallring

7 § Personuppgifter som behandlas automatiserat i ett ärende hos Säkerhetspolisen ska gallras senast ett år efter det att ärendet avslutades. Personuppgifter som inte kan hänföras till ett ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången.

Bestämmelserna i första stycket gäller inte

1. uppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken,

2. uppgifter som har gjorts gemensamt tillgängliga, och

3. uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

Författningsförslag Ds 2007:43

38

Gemensamt tillgängliga uppgifter

8 § Om det behövs för de ändamål som anges i 2 §, får personuppgifter göras gemensamt tillgängliga i Säkerhetspolisens verksamhet. Uppgifter om resultat av DNA-analyser får dock inte göras gemensamt tillgängliga. Uppgifter som endast ett fåtal bestämda personer hos Säkerhetspolisen har rätt att ta del av anses inte som gemensamt tillgängliga.

Bestämmelserna i 9–17 §§ gäller för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.

Särskilda upplysningar

9 § Vid behandling enligt 8 § ska personuppgifterna förses med en särskild upplysning om det närmare ändamålet med behandlingen. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

10 § Om uppgifter, som behandlas enligt 8 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska de förses med en särskild upplysning om att personen inte är misstänkt. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Upplysning behöver dock inte lämnas, om det på grund av särskilda omständigheter är onödigt. Upplysning behöver inte heller lämnas om

1. uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till, och

2. bearbetningen och analysen befinner sig i ett inledande skede.

Ds 2007:43 Författningsförslag

39

Sökning

11 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för de ändamål som anges i 2 §.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

12 § Vid sökning i gemensamt tillgängliga uppgifter får endast följande uppgifter tas fram:

1. identifieringsuppgifter,

2. uppgifter om grunden för registreringen, och

3. hänvisning till de ärenden där uppgifter om personen behandlas.

13 § Bestämmelsen i 12 § gäller inte vid sökning

1. i en viss handling eller i ett visst ärende, eller

2. i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om och under vilka förutsättningar sökning får ske enligt första stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

14 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling ska tillämpas även vid utlämnande av uppgifter som behandlas hos Säkerhetspolisen.

Författningsförslag Ds 2007:43

40

Behandling av uppgifter i avslutade förundersökningar m.m.

15 § Bestämmelserna i 3 kap. 11–15 §§ om behandling av uppgifter i avslutade förundersökningar m.m. ska tillämpas även vid behandling av personuppgifter hos Säkerhetspolisen.

Gallring

16 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Personuppgifter som behandlas i en sådan uppgiftssamling som avses i 10 § andra stycket 1 ska dock gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Säkerhetspolisen får besluta att personuppgifter får behandlas längre tid än vad som sägs i första och andra styckena, om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifter bevaras med stöd av ett sådant beslut, ska de gallras, eller frågan om bevarande prövas på nytt, senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i andra stycket, senast vid utgången av det tredje kalenderåret efter beslutet.

17 § Bestämmelserna i 16 § gäller inte

1. personuppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken, och

2. uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

I fråga om behandling av sådana personuppgifter som anges i första stycket 1 ska i stället 3 kap. 11–15 §§ tillämpas.

Ds 2007:43 Författningsförslag

41

1. Denna lag träder i kraft den 1 januari 2009, då polisdatalagen (1998:622) upphör att gälla.

2. I fråga om behandling av personuppgifter i en särskild undersökning enligt 14 § första stycket 1 polisdatalagen (1998:622) som har beslutats före ikraftträdandet av denna lag gäller bestämmelserna i polisdatalagen i stället för bestämmelserna i denna lag till utgången av år 2010.

3. För de personregister som har förts med stöd av punkten 2 i övergångsbestämmelserna till polisdatalagen (1998:622) gäller bestämmelserna i datalagen (1973:289) i stället för bestämmelserna i denna lag till utgången av år 2010. Bestämmelserna i 2 kap. 12, 13 och 17 §§ denna lag ska dock tillämpas på uppgifterna i registren från lagens ikraftträdande. Vad som sägs i första stycket gäller inte fingeravtrycksregistret, signalements- och känneteckensregistret och det allmänna spaningsregistret.

4. Datainspektionens tillstånd att föra sådana register som avses i punkten 3 andra stycket upphör att gälla vid ikraftträdandet av denna lag. Datainspektionens tillstånd att föra övriga register som avses i punkten 3 upphör att gälla vid utgången av år 2010 eller vid den tidigare tidpunkt då den personuppgiftsansvarige avanmäler registret hos inspektionen.

5. Bestämmelserna om särskilda upplysningar i 3 kap. 3 och 4 §§ behöver inte tillämpas förrän den 1 januari 2011 i fråga om uppgifter som har samlats in före ikraftträdandet.

6. Bestämmelserna om gallring och om behandling av uppgifter i brottsanmälningar och avslutade förundersökningar i 3 kap. 11–17 och 5 kap. 15 §§ ska inte tillämpas förrän den 1 januari 2011 i fråga om uppgifter som har samlats in före ikraftträdandet. I stället ska motsvarande bestämmelser i polisdatalagen (1998:622) tillämpas. För uppgifter i ett register som har avanmälts enligt punkten 4 gäller dock bestämmelserna i denna lag.

Författningsförslag Ds 2007:43

42

2.2 Förslag till lag om polisens allmänna spaningsregister

Härigenom föreskrivs följande.

Allmänt spaningsregister

1 § Rikspolisstyrelsen får med hjälp av automatiserad behandling föra ett allmänt spaningsregister.

Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret. En myndighet som har direktåtkomst enligt denna lag ansvarar för att åtkomsten begränsas enligt 11 §.

Ändamål

2 § Det allmänna spaningsregistret ska ha till ändamål att underlätta tillgången till personuppgifter som behövs för spaning i polisens brottsbekämpande verksamhet.

Vilka personuppgifter som får behandlas

3 § I det allmänna spaningsregistret får behandlas uppgifter som kan hänföras till en enskild person, om

1. den som uppgiften avser kan misstänkas för att ha begått ett brott som inte enbart har böter i straffskalan, och

2. behandlingen är av särskild betydelse för brottsbekämpningen.

4 § I registret får behandlas uppgifter som kan hänföras till en enskild person som inte kan misstänkas för brott, om uppgiften

1. har samband med en person som har registrerats enligt 3 §, och

2. är av särskild betydelse för polisens spaningsverksamhet.

Ds 2007:43 Författningsförslag

43

5 § Utöver de uppgifter som får behandlas enligt 3 och 4 §§ får uppgifter behandlas om en juridisk person, ett transportmedel eller annat föremål som kan hänföras till en enskild person, om

1. uppgiften kan antas ha samband med ett brott som inte enbart har böter i straffskalan, och

2. behandlingen är av särskild betydelse för brottsbekämpningen.

Innehåll

6 § Det allmänna spaningsregistret ska innehålla uppgifter om

1. grunden för att en person registreras enligt 3 § eller att en juridisk person, ett transportmedel eller föremål enligt 5 § förs in i registret och omständigheterna i samband med registreringen,

2. de omständigheter och händelser som ger upphov till att andra uppgifter än sådana som avses i 1 tillförs registret,

3. den behandlade uppgiftens ursprung, och

4. uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

7 § Det allmänna spaningsregistret får, utöver vad som anges i 6 §, endast innehålla följande uppgifter om en person som har registrerats enligt 3 §:

1. uppgift som är ägnad att identifiera personen, dock inte uppgifter om resultat av DNA-analyser eller fingeravtryck,

2. uppgift om vistelseadress,

3. uppgift om verkställighet av påföljd för brott,

4. uppgift om att personen är eftersökt i samband med brott,

5. uppgift om att personen tidigare har varit beväpnad, våldsam eller flyktbenägen,

6. uppgift om att personen är föremål för sådan övervakning som avses i 3 kap. 2 § första stycket 2 lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet,

7. uppgift om anknytning till juridisk person,

Författningsförslag Ds 2007:43

44

8. uppgift om anknytning till andra personer som har registrerats enligt 3 § och som kan antas tillhöra samma gruppering som den registrerade,

9. uppgift om att personen har något speciellt tillvägagångssätt, och

10. ärendenummer.

8 § Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får registreras i det allmänna spaningsregistret och om förfarandet vid registreringen.

Särskilda upplysningar

9 § Uppgifter i det allmänna spaningsregistret som direkt kan hänföras till en person som inte misstänks för brott ska förses med en särskild upplysning om detta. Detsamma gäller uppgifter om en juridisk person eller ett transportmedel som indirekt kan hänföras till en sådan person. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

Registrering av känsliga personuppgifter

10 § Uppgifter om en person får inte registreras i det allmänna spaningsregistret på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Trots bestämmelsen i första stycket får uppgifter om en person som registreras på annan grund kompletteras med sådana uppgifter som avses i första stycket om det är absolut nödvändigt för syftet med registreringen.

Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Ds 2007:43 Författningsförslag

45

Tillgången till personuppgifter

11 § Tillgången till personuppgifter i det allmänna spaningsregistret ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Sökning

12 § Uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får inte användas som sökbegrepp vid sökning i det allmänna spaningsregistret. Detta hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

13 § Uppgifter i det allmänna spaningsregistret som direkt kan hänföras till en person som inte är misstänkt för brott får inte vara sökbara.

Utlämnande av uppgifter och uppgiftsskyldighet

14 § Personuppgifter i det allmänna spaningsregistret som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

15 § Personuppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Om det är förenligt med svenska intressen, får uppgifter vidare lämnas till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till Interpol eller Europol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, upptäcka, utreda eller beivra brott.

Författningsförslag Ds 2007:43

46

Av 1 kap. 3 § tredje stycket sekretesslagen (1980:100) följer att uppgifter får lämnas till en utländsk myndighet eller en mellanfolklig organisation även i vissa andra fall.

16 § Utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 §sekretesslagen (1980:100) ska personuppgifter i det allmänna spaningsregistret lämnas till

1. polismyndighet, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket, om myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet, eller

2. polismyndighet, om myndigheten har behov av uppgifterna i annan verksamhet än den brottsbekämpande verksamheten och det finns särskilda skäl för att lämna ut dem.

Regeringen meddelar föreskrifter om att uppgifter får lämnas ut till andra myndigheter än de som anges i första stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

17 § Endast enstaka personuppgifter i det allmänna spaningsregistret får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall har beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till det allmänna spaningsregistret.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Ds 2007:43 Författningsförslag

47

Gallring

19 § Uppgifter i det allmänna spaningsregistret om en person som har registrerats enligt 3 § ska gallras senast tre år efter det att uppgiften om misstanke om brott registrerades. Om uppgiften avser misstanke om brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver dock uppgifterna inte gallras förrän fem år efter registreringen.

Om en ytterligare uppgift om personen förs in i registret, behöver uppgifterna om den registrerade personen inte gallras förrän

1. fem år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år,

2. tre år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om annat brott än i 1, eller

3. ett år från det att den nya uppgiften fördes in i registret, om uppgiften inte avser misstanke om brott.

Den tid under vilken en person som har registrerats enligt 3 § avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i första och andra styckena.

Uppgifter om en person som avses i 4 § ska gallras senast när uppgifterna om den person som har registrerats enligt 3 § och som uppgifterna har samband med gallras.

20 § Uppgifter om en juridisk person, ett transportmedel eller annat föremål som har registrerats enligt 5 § ska gallras senast tre år efter den senaste registreringen. Om den senast införda uppgiften avser ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver dock uppgifterna inte gallras förrän fem år efter det att den senaste uppgiften infördes.

21 § Vad som föreskrivs i 19 och 20 §§ hindrar inte att regeringen eller den myndighet som regeringen bestämmer

Författningsförslag Ds 2007:43

48

1. meddelar föreskrifter om att uppgifter gallras vid en tidigare tidpunkt, eller bevaras för historiska, statistiska eller vetenskapliga ändamål, eller

2. i ett enskilt fall beslutar att en uppgift ska bevaras om det finns synnerliga skäl för det.

Ett beslut enligt första stycket 2 ska omprövas varje år.

Rättelse och skadestånd

22 § Bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.

Denna lag träder i kraft den 1 januari 2009 och gäller till och med den 31 december 2014.

Ds 2007:43 Författningsförslag

49

2.3 Förslag till lag om ändring i rättegångsbalken

Härigenom föreskrivs att 28 kap.12 a och 12 b §§rättegångsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

28 kap.

12 a §

0F

1

Kroppsbesiktning genom tagande av salivprov får ske på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera uppgifter om resultatet av analysen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (1998:622).

Kroppsbesiktning genom tagande av salivprov får ske på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera uppgifter om resultatet av analysen i det DNA-register eller det utredningsregister som förs enligt lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

1

Senaste lydelse 2005:878.

Författningsförslag Ds 2007:43

50

12 b §

1F

2

Kroppsbesiktning genom tagande av salivprov får ske på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.

Analysresultatet får inte jämföras med de uppgifter som finns registrerade i register som förs enligt polisdatalagen (1998:622) eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Kroppsbesiktning genom tagande av salivprov får ske på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.

Analysresultatet får inte jämföras med de uppgifter som finns registrerade i register som förs enligt lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 januari 2009.

2

Senaste lydelse 2005:878.

Författningsförslag Ds 2007:43

51

2.4 Förslag till lag om ändring i sekretesslagen (1980:100)

2F

1

ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

1 §

3F

2

Sekretess gäller för uppgift som hänför sig till

1. förundersökning i brottmål,

2. angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. verksamhet som rör utredning i frågor om näringsförbud eller förbud att lämna juridiskt eller ekonomiskt biträde,

4. åklagarmyndighets, polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, eller

5. Finansinspektionens verksamhet som rör övervakning enligt lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. För uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdatalagen (1998:622) eller som i annat fall hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot ri-

För uppgift som hänför sig till verksamhet hos polisen enligt 2 kap. 5 § 1 lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet eller till verksamhet hos Säkerhetspolisen

1

Lagen omtryckt 1992:1474.

2

Senaste lydelse 2006:697.

Författningsförslag Ds 2007:43

52

kets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Detsamma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar samt sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

enligt 5 kap. 2 § 1 samma lag gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Detsamma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar samt sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verksamhet hos myndighet för att biträda åklagarmyndighet, polismyndighet, Skatteverket, Tullverket eller Kustbevakningen med att förebygga, uppdaga, utreda eller beivra brott samt hos tillsynsmyndigheten i konkurs och hos Kronofogdemyndigheten för uppgift som angår misstanke om brott.

Utan hinder av sekretessen enligt andra stycket kan enskild få uppgift om huruvida han eller hon förekommer i Säkerhetspolisens register med anledning av den verksamhet som bedrevs med stöd av

1. personalkontrollkungörelsen (1969:446) och de tilläggsföreskrifter som utfärdats med stöd av den,

2. förordningen den 3 december 1981 med vissa bestämmelser om verksamheten vid Rikspolisstyrelsens säkerhetsavdelning, eller

3. motsvarande äldre bestämmelser.

Ds 2007:43 Författningsförslag

53

Sekretess gäller inte för uppgift som hänför sig till sådan verksamhet hos Säkerhetspolisen som avses i andra stycket om uppgiften har införts i en allmän handling före år 1949. I fråga om annan uppgift i allmän handling som hänför sig till sådan verksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om uppgift i allmän handling i övrigt gäller sekretessen i högst fyrtio år.

7 §

4F

3

Sekretess gäller i verksamhet som avser rättsligt samarbete på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till

1. utredning enligt bestämmelserna om förundersökning i brottmål, eller

2. angelägenhet som angår tvångsmedel, om det kan antas att det varit en förutsättning för den andra statens eller den mellanfolkliga domstolens begäran att uppgiften inte skulle röjas.

Motsvarande sekretess gäller hos polismyndighet och åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen, för uppgift i en angelägenhet som avses i 3 § 1 och 6 lagen (2000:344) om Schengens informationssystem. Utan hinder av sekretessen enligt detta stycke får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen om Schengens informationssystem.

Motsvarande sekretess gäller hos polismyndighet och åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen, för uppgift i en angelägenhet som avses i 3 § 1 och 6 lagen (2000:344) om Schengens informationssystem. Utan hinder av sekretessen enligt detta stycke får uppgift lämnas ut enligt vad som föreskrivs i lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet

3

Senaste lydelse 2003:1161.

Författningsförslag Ds 2007:43

54

och lagen om Schengens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år.

7 kap.

41 §

5F

4

Sekretess gäller hos polismyndighet och åklagarmyndighet, samt hos Rikspolisstyrelsen, Tullverket, Kustbevakningen och Migrationsverket, för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem

1. om omhändertagande av en person som har efterlysts för överlämnande eller utlämning,

2. om att en person skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlista),

2. om att en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlista),

3. om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet, samt

4. om dold övervakning eller särskilda kontrollåtgärder, om det inte står klart att uppgiften kan lämnas ut utan att den enskilde eller någon honom närstående lider men.

Sekretess gäller hos myndighet som prövar ansökningar om visering och uppehållstillstånd för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en sådan framställning som avses i första stycket 2 under samma förutsättningar som anges i första stycket.

Utan hinder av sekretessen får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

Utan hinder av sekretessen får uppgift lämnas ut enligt vad som föreskrivs i lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet och

4

Senaste lydelse 2003:1161.

Ds 2007:43 Författningsförslag

55

lagen (2000:344) om Schengens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

9 kap.

17 §

6F

5

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1. i utredning enligt bestämmelserna om förundersökning i brottmål,

2. i angelägenhet som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott,

5. i Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller polismyndighet i brottmål,

6. i register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

6. i register som förs av Rikspolisstyrelsen enligt lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag,

7. i register som förs enligt lagen (1998:621) om misstankeregister,

8. i det register som förs enligt lagen (2008:000) om polisens allmänna spaningsregister,

5

Senaste lydelse 2006:697.

Författningsförslag Ds 2007:43

56

8. i register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

10. i register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas med stöd av samma lag,

9. i register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

10. i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

11. i register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas med stöd av samma lag,

om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

Sekretess enligt första stycket 2 gäller hos domstol i dess rättsskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till den enskilde lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs. Av 12 kap. 2 § andra stycket framgår att även sekretessen enligt första stycket 1 är begränsad hos domstol.

Sekretess enligt första stycket gäller hos tillsynsmyndigheten i konkurs för uppgift som angår misstanke om brott.

Ds 2007:43 Författningsförslag

57

Sekretess gäller i verksamhet, som avses i första stycket, för anmälan eller utsaga från enskild, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs.

Utan hinder av sekretessen får en skadelidande, eller den som den skadelidande överlåtit sin rätt till, ta del av en uppgift

1. i en nedlagd förundersökning eller i en förundersökning som avslutats med ett beslut om att åtal inte skall väckas,

1. i en nedlagd förundersökning eller i en förundersökning som avslutats med ett beslut om att åtal inte ska väckas,

2. i en annan brottsutredning som utförts enligt bestämmelserna i 23 kap. rättegångsbalken och som avslutats på annat sätt än med beslut att väcka åtal, med strafföreläggande eller med föreläggande av ordningsbot, eller

3. i en avslutad utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

om den skadelidande, eller den som den skadelidande överlåtit sin rätt till, behöver uppgiften för att kunna få ett anspråk på skadestånd eller på bättre rätt till viss egendom tillgodosett och det inte bedöms vara av synnerlig vikt för den som uppgiften rör eller någon närstående till honom eller henne att den inte lämnas ut.

Utan hinder av sekretessen får en uppgift också lämnas ut

1. till enskild enligt vad som föreskrivs i den särskilda lagstiftningen om unga lagöverträdare,

2. till enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har stöd i den lagen,

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (1998:622), lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och i lagen (2005:787) om behand-

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (2005:787) om behandling av uppgifter i Tullverkets

Författningsförslag Ds 2007:43

58

ling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

brottsbekämpande verksamhet och lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

Utan hinder av sekretessen får polisen på begäran av den som lidit person- eller sakskada vid en trafikolycka lämna uppgift om identiteten hos en trafikant som haft del i olyckan.

Utan hinder av sekretessen enligt första stycket 1 får uppgift lämnas till konkursförvaltare, om uppgiften kan antas ha betydelse för konkursutredningen.

Sekretess gäller inte för uppgift som hänför sig till sådan verksamhet hos Säkerhetspolisen som avses i första stycket 1–4 eller 6 eller motsvarande verksamhet enligt äldre bestämmelser, om uppgiften har införts i en allmän handling före år 1949. I fråga om annan uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2009.

Författningsförslag Ds 2007:43

59

2.5 Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §

7F

1

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller polisdatalagen (1998:622). Med registerkontroll avses också att sådana personuppgifter hämtas som Rikspolisstyrelsen eller Säkerhetspolisen behandlar utan att det ingår i ett sådant register som avses i första stycket. Med registerkontroll avses dock inte att uppgifter hämtas från en förundersökning eller särskild undersökning i kriminalunderrättelseverksamhet.

Med registerkontroll avses kontroll av om det förekommer uppgifter om en person i register som förs av polisen eller om sådana uppgifter annars behandlas där i den brottsbekämpande verksamheten.

Vid en registerkontroll ska uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. Vidare ska uppgifter hämtas som Säkerhetspolisen behandlar med stöd av 5 kap. lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Uppgifter får också hämtas från register som omfattas av 4 kap. lagen om behandling av personuppgifter i polisens brotts-

1

Senaste lydelse 1998:625.

Författningsförslag Ds 2007:43

60

bekämpande verksamhet eller lagen (2008:000) om polisens allmänna spaningsregister. Vidare får uppgifter hämtas som polisen i övrigt behandlar med stöd av 2 kap. 5 § lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet, om uppgifterna har gjorts gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av registerkontrollen.

21 §

8F

2

Utlämnande av uppgifter vid registerkontroll får omfatta

1. för säkerhetsklass 1 eller 2: varje uppgift som finns tillgänglig om den kontrollerade och, om det är oundgängligen nödvändigt, om make eller sambo, och

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret, misstankeregistret, SÄPO-registret och uppgifter som annars behandlas hos Säkerhetspolisen.

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen.

22 §

9F

3

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som finns i belastnings-

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som finns i belastnings-

2

Senaste lydelse 1998:625.

3

Senaste lydelse 2006:347.

Ds 2007:43 Författningsförslag

61

registret, misstankeregistret, SÄPO-registret och uppgifter som annars behandlas hos Säkerhetspolisen.

registret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen.

Denna lag träder i kraft den 1 januari 2009.

Författningsförslag Ds 2007:43

62

2.6 Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att 2 och 6 §§ lagen (1998:620) om belastningsregister ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

10F

1

Belastningsregistret skall föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos

1. polis-, skatte- och tullmyndigheter för att förebygga, upptäcka och utreda brott,

Belastningsregistret ska föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos

1. polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott,

2. åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,

3. allmänna domstolar för straffmätning och val av påföljd och

4. polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till enskild lämna uppgifter som är av särskild betydelse i dennes verksamhet.

6 §

11F

2

Personuppgifter ur belastningsregistret skall lämnas ut om det begärs av

Personuppgifter ur belastningsregistret ska lämnas ut om det begärs av

1

Senaste lydelse 1999:91.

2

Senaste lydelse 1999:91.

Ds 2007:43 Författningsförslag

63

1. Riksdagens ombudsmän, Justitiekanslern eller Datainspektionen för deras tillsynsverksamhet,

2. polis-, skatte-, tull- eller åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § första stycket 1–3,

2. polismyndighet, Skatteverket, Tullverket, Kustbevakningen, åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § första stycket 1–3,

3. förvaltningsdomstol för prövning enligt 2 § första stycket 4 eller

4. myndighet i övrigt i den utsträckning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger tillstånd till det.

Regeringen får föreskriva att en myndighet som avses i första stycket får ha direktåtkomst till registret.

Denna lag träder i kraft den 1 januari 2009.

Författningsförslag Ds 2007:43

64

2.7 Förslag till lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att 2 och 5 §§ lagen (1998:621) om misstankeregister ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

12F

1

Misstankeregistret skall föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos

1. polis-, skatte- och tullmyndigheter för att samordna förundersökningar mot en person och för att förebygga, upptäcka och utreda brott,

Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos

1. polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en person och för att förebygga, upptäcka och utreda brott,

2. åklagarmyndigheter för beslut om förundersökning och åtal och

3. polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till enskild lämna uppgifter som är av särskild betydelse i dennes verksamhet.

1

Senaste lydelse 1999:92.

Ds 2007:43 Författningsförslag

65

5 §

13F

2

Uppgifter ur misstankeregistret skall lämnas ut om det begärs av

1. polis-, skatte-, tull- eller åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § första stycket 1–3,

Uppgifter ur misstankeregistret ska lämnas ut om det begärs av

1. polismyndighet, Skatteverket, Tullverket, Kustbevakningen, åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § första stycket 1–3,

2. myndighet i övrigt i den utsträckning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger tillstånd till det.

Regeringen får föreskriva att en myndighet som avses i första stycket får ha direktåtkomst till registret.

Att uppgifter får lämnas ut i vissa andra fall framgår av 14 kap. sekretesslagen (1980:100).

Denna lag träder i kraft den 1 januari 2009.

2

Senaste lydelse 1999:92.

Författningsförslag Ds 2007:43

66

2.8 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2003:344) om Schengens informationssystem ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Registret skall endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (1998:622) eller annan svensk författning.

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet eller annan svensk författning.

Denna lag träder i kraft den 1 januari 2009.

Ds 2007:43 Författningsförslag

67

2.9 Förslag till lag om ändring i lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Lydelse enligt proposition 2006/07:133

Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) skall utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden skall även utöva tillsyn över Säkerhetspolisens behandling av uppgifter enligt polisdatalagen (1998:622), särskilt med avseende på 5 § den lagen.

Nämnden ska även utöva tillsyn över polisens behandling av uppgifter enligt lagen (2008:000) om behandling av personuppgifter i polisens brottsbekämpande verksamhet och lagen (2008:000) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse behandlingen av sådana känsliga personuppgifter som avses i 2 kap. 8 § lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet och 10 § lagen om polisens allmänna spaningsregister.

Författningsförslag Ds 2007:43

68

Tillsynen skall särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Denna lag träder i kraft den 1 januari 2009.

69

3 Bakgrund

Polisdatalagen (1998:622) innehåller bestämmelser om behandling av personuppgifter hos polisen. Den bygger på personuppgiftslagen (1998:204) och innehåller de särregler som har ansetts nödvändiga i polisens verksamhet. I övrigt gäller personuppgiftslagen. Polisdatalagen utgör bara en del av lagstiftningen om behandling av personuppgifter i polisens verksamhet. Övriga lagar som reglerar sådan behandling är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem och lagen (2006:444) om passagerarregister. En stor del av den behandling av personuppgifter som sker hos polisen är dock inte författningsreglerad. Enligt övergångsbestämmelserna till polisdatalagen gäller den upphävda datalagen (1973:289) fortfarande för de register som den 24 oktober 1998 fördes med Datainspektionens tillstånd. Detta gäller flera av de stora polisregistren. Övergångsbestämmelserna har förlängts och gäller till utgången av år 2007. En ytterligare förlängning till utgången av år 2008 har föreslagits i propositionen Övergångsbestämmelserna till polisdatalagen (prop. 2007/08:6).

Den 9 december 1999 tillkallades en särskild utredare med uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och påtala eventuella brister. Utredaren skulle överväga om det behövde vidtas några åtgärder för att lagstiftningen skulle uppnå sitt syfte att ge en effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet. Utredningen antog namnet Polisdatautredningen.

Bakgrund Ds 2007:43

70

Den 19 december 2001 överlämnade utredningen betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). En sammanfattning av betänkandet finns i bilaga 1. Lagförslagen i betänkandet finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2001/8624/PO).

Remissinstanserna godtog i allmänhet Polisdatautredningens förslag att den nuvarande polisdatalagen ska ersättas med en helt ny reglering. I fråga om enskildheter i förslagen var dock remisssynpunkterna mera blandade. Flera remissinstanser efterlyste närmare analys angående olika delar av förslaget. Under den fortsatta beredningen av ärendet har det framkommit att förslaget behöver ändras och kompletteras i så många olika avseenden att ett nytt underlag måste tas fram och remitteras. Denna promemoria utgör det underlaget.

Inom Regeringskansliet (Försvarsdepartementet) pågår även ett arbete med att ta fram ett förslag till lag om Kustbevakningens behandling av personuppgifter. Med anledning av detta övervägs i vad mån de grundläggande principer som i denna promemoria förslås gälla för polisens behandling av personuppgifter bör gälla även för Kustbevakningen.

Kustbevakningen har i en framställan till Justitiedepartementet begärt att myndigheten i sin brottsbekämpande verksamhet ska få tillgång till uppgifter i belastningsregistret och misstankeregistret genom direktåtkomst (dnr Ju2005/319/PO), se bilaga

4. Kustbevakningens framställan har remitterats. En förteckning över remissinstanserna finns i bilaga 5. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2005/319/PO). Promemorian innehåller förslag till ändringar i lagen om belastningsregister och lagen om misstankeregister som syftar till att tillgodose Kustbevakningens behov av tillgång till uppgifter ur registren.

71

4 Gällande rätt m.m.

4.1 Inledning

De grundläggande bestämmelserna om behandling av personuppgifter finns i personuppgiftslagen (1998:204). Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Personuppgiftslagen är tillämplig generellt, om det inte i annan lag eller förordning har meddelats avvikande bestämmelser. Direktivet omfattar däremot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet och statens verksamhet på straffrättens område omfattas t.ex. inte. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd författningar med bestämmelser om behandling av personuppgifter, däribland polisdatalagen (1998:622). Syftet har varit att anpassa lagstiftningen till de särskilda behov som myndigheterna har haft i sina respektive verksamheter och göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för enskildas integritet.

Utöver en beskrivning av gällande rätt innehåller detta kapitel en redogörelse för aktuella internationella överenskommelser och rekommendationer på dataskyddsområdet. Dessa utgör en utgångspunkt för arbetet. Vidare redovisas bl.a. vissa initiativ inom Europeiska unionen (EU).

Gällande rätt m.m. Ds 2007:43

72

4.2 Internationella överenskommelser och personuppgiftslagen

4.2.1 Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag. Det är framförallt artiklarna 8 och 13 i konventionen som har betydelse för myndigheters rätt att behandla personuppgifter.

Enligt artikel 8 har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I kriteriet ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. De syften för vilka intrång tillåts har tolkats ganska extensivt av Europadomstolen, men domstolen avgör vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Det som genomsyrar hela konventionen är att åtgärder som innefattar intrång i en skyddad rättighet kan godtas endast om de är proportionerliga. Det innebär att intrånget måste svara mot ett mycket angeläget socialt behov och stå i rimlig proportion till det syfte som ska uppnås.

I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha till-

Ds 2007:43 Gällande rätt m.m.

73

gång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräcklig.

4.2.2 Dataskyddskonventionen m.m.

Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för medlemsstaterna.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europakonventionen. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa typer av personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, hälsa, sexualliv samt uppgifter om brott.

Gällande rätt m.m. Ds 2007:43

74

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare ska den registrerade ha möjlighet till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har i princip övertagits av dataskyddsdirektivet. Direktivet omfattar dock inte behandling av personuppgifter inom områden som t.ex. allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse.

Europarådets ministerkommitté har under år 2001 antagit ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Sverige undertecknade och ratificerade tilläggsprotokollet den 8 november 2001. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat internationella riktlinjer om integritetsskydd och persondataflöde över gränserna. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

Ds 2007:43 Gällande rätt m.m.

75

4.2.3 Europarådets rekommendation No. R (87) 15

Utöver dataskyddskonventionen har Europarådet tagit fram rekommendationer om dataskydd sektorsvis, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn. Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (”the different categories of data stored should be distinguished in accordance with their degree of accuracy or reliability”). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

4.2.4 Europeiska unionens stadga om de grundläggande rättigheterna

Den 7 december 2000 tillkännagavs Europeiska unionens stadga om de grundläggande rättigheterna av parlamentet, rådet och kommissionen. I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser samt i Fördraget om Europeiska unionen och gemenskapsfördragen. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner. För närvarande är stadgan inte mer än en viljeförklaring avseende de redan existerande rättigheterna.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på

Gällande rätt m.m. Ds 2007:43

76

grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Stadgan avser endast verksamhet som utförs av EU:s egna organ och institutioner och blir tillämplig för medlemsstaterna endast i de fall de tillämpar EG-rätten. Stadgan är följaktligen inte tillämplig avseende nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

Såvitt avser de garanterade rättigheternas räckvidd anförs i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. Hänvisning görs också till de grundläggande fördragen och Europakonventionen. De rättigheter som skyddas i stadgan ska ha samma innebörd och räckvidd som de som skyddas i konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

4.2.5 Dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet (se avsnitt 4.1) syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte, som framgått, för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av person-

Ds 2007:43 Gällande rätt m.m.

77

uppgifter i brottsbekämpande verksamhet. Detta kommer att beröras närmare i avsnitt 6.5.1.

Personuppgiftslagen, genom vilken dataskyddsdirektivet införlivats i svensk rätt, har däremot gjorts generellt tillämplig och omfattar även sådan verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180). Lagen innehåller de generella regler som följer av direktivet i fråga om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerheten vid behandlingen m.m. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Tidigare fanns det grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling i datalagen (1973:289). I denna lag avsågs med personregister ett register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. som regel för att inrätta och föra register med uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister hade beslutats av riksdagen eller regeringen, krävdes dock inget tillstånd.

Genom personuppgiftslagen avskaffades det tidigare licens- och tillståndsförfarandet. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Gällande rätt m.m. Ds 2007:43

78

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar i princip endast behandling av personuppgifter som är helt eller delvis automatiserad, dvs. i första hand datoriserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när behandling av uppgifter är tillåten. Detta är i princip fallet när den registrerade har lämnat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige, eller tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Personuppgiftslagen förbjuder andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att

Ds 2007:43 Gällande rätt m.m.

79

meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter i DIFS 1998:3, jfr 9 § personuppgiftsförordningen (1998:1191).

Den 1 januari 2007 trädde vissa ändringar av personuppgiftslagen i kraft, vilka innebär att lagen i viss utsträckning utformas enligt en missbruksmodell (SFS 2006:398). Regleringen tar därmed inte sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons personliga integritet.

Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, undantas från de flesta av personuppgiftslagens detaljerade hanteringsregler. Sådan behandling tillåts utan andra restriktioner än att den registrerades personliga integritet inte får kränkas.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 6.5.2.

4.2.6 Europol

Medlemsstaterna i EU har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effektiviteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definierad brottslighet, t.ex. grova narkotikabrott eller gränsöverskridande handel med barn som utnyttjas sexuellt.

För närvarande pågår det inom EU förhandlingar om att ersätta den nuvarande konventionen med ett rådsbeslut, se kommissionens förslag (KOM

[

2006]817 slutlig). Ambitionen är att

förhandlingarna ska kunna avslutas vid halvårsskiftet 2008.

Gällande rätt m.m. Ds 2007:43

80

4.3 Den nuvarande polisregisterlagstiftningen

4.3.1 Allmänt om polisregisterlagstiftningen

Polisdatalagen trädde i kraft den 1 april 1999. Lagen, som gäller utöver personuppgiftslagen, utgör en del av lagstiftningen om polisens register. Vid sidan av polisdatalagen finns också lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2000:343) om internationellt polisiärt samarbete och lagen (2006:444) om passagerarregister. Lagen om belastningsregister och lagen om misstankeregister trädde i kraft den 1 januari 2000 och lagen om Schengens informationssystem den 1 december 2000. Dessa lagar behandlas närmare i anslutning till beskrivningarna av registren i bilaga 6.

4.3.2 Särskilt om polisdatalagen

Polisens möjligheter att föra kriminal- och polisregister reglerades tidigare av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes – och förs – i stor utsträckning fortfarande enligt övergångsbestämmelserna till polisdatalagen med stöd av Datainspektionens tillstånd enligt datalagen (1973:289).

Polisdatalagen utgår från personuppgiftslagen och innehåller endast de särbestämmelser som har ansetts nödvändiga för polisens verksamhet. Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och regler om vissa särskilda register. Behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om miss-

Ds 2007:43 Gällande rätt m.m.

81

tankeregister, lagen om Schengens informationssystem eller lagen om passagerarregister faller utanför polisdatalagen.

Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet och i polisverksamhet vid Ekobrottsmyndigheten för att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Lagen innehåller bl.a. regler om behandling av uppgifter i kriminalunderrättelseverksamhet. Lagen innehåller särskilda bestämmelser om vissa register som förs med hjälp av automatiserad behandling. Dessa register är kriminalunderrättelseregister, register med uppgifter om DNAanalyser, fingeravtrycks- och signalementsregister samt SÄPOregistret. Registren behandlas närmare i bilaga 6.

4.4 EU-initiativ m.m.

Inom ramen för EU-samarbetet förhandlas för närvarande flera rambeslut och andra rådsbeslut som kan komma att påverka lagstiftningen om behandling av personuppgifter inom polisen. Inom Justitiedepartementet bereds också en departementspromemoria om preskription vid allvarliga brott som bl.a. innefattar förslag till ändringar i polisdatalagen.

Förslag till rambeslut om skydd för personuppgifter

Inom EU:s råd förhandlas ett rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (KOM[2005]475 slutlig). Förslaget presenterades av kommissionen i oktober 2005. Syftet är att åstadkomma ett sammanhållet instrument med dataskyddsbestämmelser för EU:s brottsbekämpande och straffrättsliga samarbete (tredje pelaren). Rambeslutet innehåller bland annat bestämmel-

Gällande rätt m.m. Ds 2007:43

82

ser om när och hur personuppgifter mottagna från en annan medlemsstat får behandlas, villkor för att få utbyta personuppgifter mottagna från en annan medlemsstat med tredjeland och den registrerades rättigheter. Målsättningen är att rådet ska nå en politisk överenskommelse om rambeslutet före slutet av år 2007.

VIS

Kommissionen presenterade i november 2005 ett förslag till rådsbeslut som ska möjliggöra att brottsbekämpande myndigheter i medlemsstaterna samt Europol efter förfrågan får tillgång till uppgifter i EU:s informationssystem för viseringar (VIS) i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott (9320/07 CATS 46 ENFOPOL 82 EUROPOL 56 VISA 154 COMIX 452). En politisk överenskommelse nåddes vid möte med ministerrådet för rättsliga och inrikes frågor den 12–13 juni 2007. Enligt den nuvarande lydelsen av beslutet ska en förfrågan från en brottsbekämpande myndighet vara ändamålsenlig och syfta till att förebygga, upptäcka och utreda terroristbrott samt andra grövre brott. Europol ska ha behörighet att söka i VIS för de brott som anges i Europolkonventionen. Förfrågningar måste gälla enskilda ärenden och det måste finnas anledning att tro att en slagning i VIS väsentligen kan bidra till brottsbekämpning. De brottsbekämpande enheterna ska vända sig med en motiverad begäran till de i varje land utsedda centrala ”åtkomstpunkterna”. Dessa ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Om villkoren är uppfyllda, ska åtkomstpunkten söka i VIS och föra över de begärda uppgifterna till den enhet som begärt dem.

Ds 2007:43 Gällande rätt m.m.

83

Prüm

Den 27 maj 2005 ingick Belgien, Tyskland, Spanien, Frankrike, Luxemburg, Nederländerna och Österrike ett fördrag om fördjupat gränsöverskridande samarbete för bekämpning av terrorism, gränsöverskridande brottslighet och olaglig migration. Fördraget undertecknades i den tyska staden Prüm. Medlemsstaternas målsättning är att utveckla informationsutbytet inom hela EU, framför allt avseende DNA-uppgifter, fingeravtryck och bilregisteruppgifter. Fördraget är öppet för alla EU:s medlemsstater att tillträda. Vid RIF-rådet den 15 februari 2007 nåddes en politisk principöverenskommelse om att integrera stora delar av Prümfördragets tredjepelarfrågor i EU:s regelverk. Ordförandeskapet presenterade därefter ett förslag till rådsbeslut, "Utkast till rådets beslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet" (6566/2007 REV 1 CRIMORG 33 ENFOPOL 33). En politisk överenskommelse nåddes vid möte med ministerrådet för rättsliga och inrikes frågor den 12– 13 juni 2007.

Förslag till rambeslut om utbyte av uppgifter ur kriminalregister

Inom EU:s råd förhandlas vidare sedan år 2006 ett rambeslut om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll (KOM[2005]690 slutlig/2 [5463/06 REV 1 COPEN 1]). Förslagets övergripande syfte är att förbättra utbytet av information från medlemsstaternas kriminalregister. I dag sker detta utbyte med stöd av Europarådets konvention från 1959 om ömsesidig rättslig hjälp i brottmål och dess första tilläggsprotokoll från 1978 samt rådets beslut från den 21 november 2005 om utbyte av uppgifter ur kriminalregister. Kommissionen föreslår i rambeslutet att varje medlemsstat, som meddelar en dom mot en annan medlemsstats medborgare, ska informera medborgarstaten om domen. Medborgarsta-

Gällande rätt m.m. Ds 2007:43

84

ten ska därvid lagra informationen. Tanken är att varje medlemsstat ska ha information om alla de domar som har meddelats inom EU mot de egna medborgarna. Vidare syftar rambeslutet till att förkorta förfarandet när uppgifter ur kriminalregister begärs i ett enskilt ärende. Vid möte med ministerrådet för rättsliga och inrikes frågor den 12–13 juni 2007 nåddes en politisk överenskommelse om innehållet i rambeslutet.

Förslag i departementspromemorian Preskription vid allvarliga brott

I departementspromemorian Preskription vid allvarliga brott (Ds 2007:1) har föreslagits att preskription avskaffas för vissa särskilt allvarliga brott. Som en följdändring har föreslagits att gallringsfristerna förlängs för uppgifter om vissa brott i polisens spårregister (27 § polisdatalagen). Förslagen bereds för närvarande inom Justitiedepartementet.

85

5 Polisens register

5.1 Register och ärendehanteringssystem

Genom datalagen (1973:289) introducerades begreppet personregister som ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Med personuppgift avsågs enligt den lagen upplysning avseende enskild person. Den allmänt använda termen för ADB-baserade uppgiftssamlingar blev därmed register. Ordet återfinns i många författningar som reglerar myndigheters användande av automatisk databehandling i verksamheten, t.ex. i polisdatalagen.

Det traditionella registerbegreppet har ibland kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt rättvisande sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas ostrukturerat och oorganiserat i olika filer i en dator utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar. Sökning i sådana filer görs inte efter särskilda bestämda sökord utan genom fritextsökning.

I personuppgiftslagen används inte begreppet register utan det talas i stället om behandling av personuppgifter. Det skulle i och för sig vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alter-

Polisens register Ds 2007:43

86

nativ, dvs. att endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet, Integritet, Informationsteknik (SOU 1997:39 s. 343) att tillämpningsproblem inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades också vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet men framhöll att det inte helt bör undvikas, eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas särskilda bestämmelser rörande upprättandet och förandet av sådana register (prop. 1997/98:97 s. 102).

Det kan konstateras att flera av polisens samlingar av personuppgifter i elektronisk form är register i ordets mer egentliga bemärkelse, dvs. uppgifter som förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Detta gäller i första hand de äldre system som fortfarande förs med stöd av Datainspektionens tillstånd. Nya system som också kan betraktas som register är misstankeregistret, belastningsregistret och den nationella enheten av Schengens informationssystem. Registerbegreppet har således fortfarande relevans i vissa fall.

Dagens system inom polisen byggs dock företrädesvis som ärendehanteringssystem och inte som traditionella register. I dessa ärendehanteringssystem registreras hela aktmaterial. Grundtanken vid utvecklingen av nya system inom polisen är att man i så stor utsträckning som möjligt bara ska anteckna en uppgift en gång samt att uppgiften, om det behövs, därefter ska vidarebefordras automatiserat till andra ärendehanteringssystem. Begreppet register blir då mindre träffande.

5.2 Allmänt om polisens register

Registerstrukturen har sin bakgrund i tiden före den nuvarande polisdatalagen, när Datainspektionen gav tillstånd för polisen att

Ds 2007:43 Polisens register

87

föra olika enskilda register. Strukturen är således inte ett resultat av någon övergripande planering. Detta medför bl.a. att samma uppgifter förekommer i flera olika system.

Polisens register kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen

− register som förs med stöd av särskilda bestämmelser i polisdatalagen eller annan lagstiftning,

− register som förs med stöd av allmänna bestämmelser i polisdatalagen och personuppgiftslagen, och

− register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av datalagen och tillstånd från Datainspektionen. En uppdelning kan också göras mellan centrala och lokala register. De centrala registren förs av Rikspolisstyrelsen och innehåller uppgifter från hela riket. De lokala registren förs av en polismyndighet och innehåller därmed bara uppgifter från ett polisdistrikt.

De register som regleras särskilt i polisdatalagen är kriminalunderrättelseregister, register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregister samt SÄPOregistret. Kriminalunderrättelseregister kan föras både på lokal och central nivå, medan övriga register som regleras i polisdatalagen är centrala. Det finns även särskilda bestämmelser om register i lagstiftning som gäller vid sidan av polisdatalagen, t.ex. i lagen om belastningsregister och lagen om misstankeregister. Därutöver finns centrala och lokala register som saknar särskild författningsreglering. Registren förs då med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen eller med stöd av datalagen och Datainspektionens tillstånd enligt övergångsbestämmelserna till polisdatalagen. Exempel på sådana centrala register är det allmänna spaningsregistret, det centrala brottsspaningsregistret samt beslags- och analysregistren. Rationell anmälningsrutin (RAR) och datoriserad utredningsrutintvångsmedel (DurTvå) är exempel på register på lokal nivå.

Polisen utvecklar kontinuerligt nya system för att stödja verksamheten. En redovisning av polisens register kan därför

Polisens register Ds 2007:43

88

aldrig bli helt fullständig. I bilaga 6 finns dock en redovisning som tar upp system av större betydelse i polisens verksamhet.

89

6 En ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

6.1 Bestämmelserna om polisens användning av personuppgifter behöver reformeras

Promemorians bedömning: En reform av bestämmelserna om polisens behandling av personuppgifter är nödvändig.

Utredningens bedömning överensstämmer med promemorians bedömning.

Remissinstanserna har tillstyrkt eller inte haft några invändningar mot detta.

Skälen för promemorians bedömning

Allmänna utgångspunkter

Information är en av polisens viktigaste resurser för att uppnå statsmakternas mål i det brottsbekämpande arbetet. Sedan många år är modern informationsteknik en naturlig del i polisens arbete och numera utförs praktiskt taget allt arbete till någon del med hjälp av sådan teknik. En väl utnyttjad informationsteknik är givetvis av största betydelse för polisens möjligheter att bedriva sin verksamhet på ett effektivt sätt. Samtidigt bör självfallet

En ny lag om behandling av personuppgifter… Ds 2007:43

90

informationshanteringen ske med respekt för enskildas integritet. Det är mot den bakgrunden angeläget att polisdatalagstiftningen är väl avvägd.

Oklarheter i den nuvarande lagstiftningen

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekämpande myndigheterna har goda möjligheter att samla in och bearbeta information av olika slag. De uppgifter som behöver kunna samlas in och bearbetas är såväl uppgifter med anknytning till konkreta brott (dvs. uppgifter i brottsutredningar) som uppgifter som avser förväntad eller pågående brottslig verksamhet (dvs. uppgifter i kriminalunderrättelseverksamhet). Utformningen av polisdatalagen har emellertid gett upphov till problem i olika avseenden. Ett exempel är oklarheterna kring begreppet kriminalunderrättelseverksamhet. Enligt den nuvarande lagstiftningen får uppgifter i sådan verksamhet behandlas endast under vissa förutsättningar. Behandling får ske dels om en särskild undersökning har inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas, dels inom ramen för registrering i kriminalunderrättelseregister. Det har ifrågasatts om inte behandlingen av personuppgifter i vissa faktiskt existerande polisregister till viss del skulle kunna tolkas som kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än inom ramen för en särskild undersökning eller i kriminalunderrättelseregister. Det är vidare osäkert i vilken utsträckning behandling av underrättelseuppgifter får ske lokalt, dvs. av en enskild tjänsteman genom användning av ordbehandling och e-post m.m. Ytterligare ett exempel på problem som polisdatalagens utformning har gett upphov till gäller polisens tänkta utbyggnad av ett dokument- och ärendehanteringssystem för att hantera informationsutbytet med Europol. Som redovisas närmare i bilaga 6 har Datainspektionen ansett att den planerade behandlingen

Ds 2007:43 En ny lag om behandling av personuppgifter…

91

utgör behandling av personuppgifter i kriminalunderrättelseverksamhet som inte överensstämmer med rekvisiten för behandling av sådana uppgifter i polisdatalagen.

Det finns alltså behov av en ny reglering som undanröjer dessa och andra oklarheter.

Det behövs en mera teknikneutral lagstiftning

Den elektroniska informationshanteringen inom polisens verksamhet har utvecklats snabbt. I dag lagrar polisen personuppgifter i ett stort antal olika databaser. Samma personuppgift kan lagras på flera olika ställen, i olika ”register”. Rikspolisstyrelsen har gjort bedömningen att detta sätt att hantera uppgifter kan leda till kvalitetsbrister (se promemoria om behandling av personuppgifter i polisverksamheten, dnr Ju2007/478/PO). Styrelsen planerar därför en modernisering av polisens datasystem. Tanken är att de uppgifter som behandlas i polisens verksamhet ska lagras gemensamt på en plats i stället för i separata register. Uppgifterna ska alltså i princip inte lagras mer än en gång. Åtkomsten till uppgifterna ska i de allra flesta fall inte – såsom i polisens nuvarande system – vara beroende av att en uppgift finns i ett särskilt register utan vara avhängigt andra kriterier, hänförliga till uppgifterna som sådana. Enligt Rikspolisstyrelsen kommer det planerade datasystemet att möjliggöra ett bättre integritetsskydd. Det blir bl.a. lättare att bygga upp behörighetssystem som gör det möjligt att lättare avgränsa en enskild tjänstemans åtkomst till de uppgifter som han eller hon behöver för att kunna utföra sina arbetsuppgifter. Tjänstemannens behov av information kan därigenom tillgodoses på ett rättssäkert sätt. En annan fördel är att det blir enklare att hålla lagrad information uppdaterad och tillförlitlig, eftersom utgångspunkten är att varje uppgift ska lagras endast en eller ett fåtal gånger. Risken att uppgifter bevaras i systemet längre än nödvändigt minskar också. Enligt Rikspolisstyrelsen kommer det över huvud taget att bli

En ny lag om behandling av personuppgifter… Ds 2007:43

92

lättare att avgränsa, kontrollera och övervaka all elektronisk åtkomst till uppgifter.

Rikspolisstyrelsens arbete med att förändra polisens system har redan inletts. För att styrelsen ska kunna slutföra det arbetet krävs det en ny lagstiftning som är mera teknikneutral och mindre knuten till registerbegreppet än polisdatalagen.

Polisdatalagen är varken heltäckande eller konsekvent

En svaghet i den nuvarande regleringen är bl.a. att den inte är heltäckande. Många register i polisens verksamhet förs således fortfarande med stöd av Datainspektionens tillstånd enligt den numera upphävda datalagen. Det behövs därför en ny reglering som, så långt detta är möjligt, omfattar all behandling av personuppgifter i polisens brottsbekämpande verksamhet (med vissa särskilda undantag, se avsnitt 6.3).

Den nuvarande lagstiftningen innebär vidare ett hinder för polisen att använda digital utrustning vid bild- och ljudupptagningar, eftersom själva upptagningen av bilder och ljud med digital utrustning innebär behandling av personuppgifter. Detta hinder framstår inte som motiverat och bör därför undanröjas genom ändrad lagstiftning.

De brottsbekämpande myndigheterna måste ges goda förutsättningar för att samverka i brottsbekämpningen

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används rationellt och effektivt. En utvecklad samverkan mellan de brottsbekämpande myndigheterna ger bättre förutsättningar att klara upp brott. En utgångspunkt måste vara att, med beaktande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheterna i den egna verksamheten har tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna

Ds 2007:43 En ny lag om behandling av personuppgifter…

93

behövs i verksamheten. Uppgifter måste också få behandlas om det behövs för att polisen ska kunna fullgöra sina internationella förpliktelser. De brottsbekämpande myndigheternas tillgång till information behöver effektiviseras. Som beskrivs närmare i avsnitt 12.1 är en utvecklad samverkan mellan de brottsbekämpande myndigheterna också en förutsättning för att genomföra det arbete som sedan mitten av 1990-talet bedrivs av Rådet för Rättsväsendets Informationsförsörjning (RIF).

Sammanfattning

Mot bakgrund av vad som nu har sagts bör den nuvarande lagstiftningen reformeras. De brister i lagstiftningen som har nämnts ovan bör åtgärdas. Som vi återkommer till i avsnitt 6.4 måste dock den närmare utformningen av de nya bestämmelserna föregås av en noggrann avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skyddet för den personliga integriteten.

6.2 En ny lag införs

Promemorians förslag: Polisdatalagen ersätts av en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Utredningens förslag överensstämmer med promemorians förslag.

Remissinstanserna har tillstyrkt eller inte haft några invändningar mot förslaget.

Skälen för promemorians förslag: Behandling av personuppgifter regleras generellt i personuppgiftslagen. I den mån något annat inte föreskrivs gäller alltså den lagen för behandling av personuppgifter även i polisens brottsbekämpande verksamhet. I

En ny lag om behandling av personuppgifter… Ds 2007:43

94

det lagstiftningsärende som föregick personuppgiftslagen (prop. 1997/98:44 s. 40 f.) uttalade den dåvarande regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget uttalade Konstitutionsutskottet att det saknades anledning att avvika från den tidigare fastlagda målsättningen, att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (bet. 1997/98:KU18 s. 43). För polisens del finns i dag sådana bestämmelser i bl.a. polisdatalagen.

Vi anser inte att det finns skäl att nu göra någon annan bedömning när det gäller behovet av en särlagstiftning för polisens behandling av personuppgifter. Det bör alltså även i fortsättningen finnas en särskild lag för den behandling av personuppgifter som sker hos polisen. De problem som den nuvarande lagstiftningen har gett upphov till är av sådant slag och sådan omfattning att den nuvarande lagen bör ersättas med en helt ny lag.

Ds 2007:43 En ny lag om behandling av personuppgifter…

95

6.3 Lagens tillämpningsområde

Promemorians förslag: Den nya lagen ska gälla vid all behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister, misstankeregister, Schengens informationssystem samt passagerarregister ska dock inte omfattas av den nya lagen. Lagen ska inte heller reglera personuppgiftsbehandling inom ramen för polisens allmänna spaningsregister. Den ska inte heller gälla vid insamling av personuppgifter genom allmän kameraövervakning, hemlig teleavlyssning, hemlig teleövervakning, hemlig kameraövervakning eller hemlig rumsavlyssning.

Lagen ska innehålla vissa bestämmelser om behandling av uppgifter om juridiska personer.

Utredningens förslag överensstämmer delvis med promemorians förslag. Utredningen har dock inte föreslagit att lagen ska omfatta polisverksamhet vid Ekobrottsmyndigheten. Den har inte heller föreslagit att lagen ska omfatta behandling av uppgifter om juridiska personer. Den har däremot föreslagit att lagen, liksom den nuvarande polisdatalagen, ska omfatta all den personuppgiftsbehandling som faller in under 2 § 1–3 polislagen (1984:387).

Remissinstanserna har i huvudsak inte haft någon invändning mot utredningens förslag i denna del. Rikspolisstyrelsen har dock ansett att den nya lagen ska omfatta all polisverksamhet enligt 2 § polislagen, dvs. även 2 § 4 och 5.

Skälen för promemorians förslag: Den nya lagen bör liksom i dag gälla vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet för att (1) förebygga brott och andra störningar av den allmänna ordningen

En ny lag om behandling av personuppgifter… Ds 2007:43

96

och säkerheten, (2) övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat, och (3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Detta motsvarar polisens uppgifter enligt 2 § 1–3 polislagen. Polisdatalagen omfattar alltså inte enbart personuppgiftsbehandling inom den brottsbekämpande verksamheten utan även personuppgiftsbehandling inom viss annan polisiär verksamhet. Den omfattar dock inte personuppgiftsbehandling inom sådan polisverksamhet som faller in enbart under 2 § 4 och 5 polislagen, dvs. verksamhet som består i att lämna allmänheten skydd, upplysningar och annan hjälp och annan verksamhet som ankommer på polisen enligt särskilda bestämmelser. Sådan personuppgiftsbehandling faller i stället in under personuppgiftslagen.

Frågan är då om den nya lagen, såsom utredningen har föreslagit, bör ha samma tillämpningsområde som 2 § 1–3 polislagen. Ett alternativ är att, såsom Rikspolisstyrelsen har förordat, låta lagen omfatta all personuppgiftsbehandling i polisens verksamhet. Ett annat alternativ är att begränsa lagens tillämpningsområde till personuppgiftsbehandling inom polisens brottsbekämpande verksamhet.

Vid valet mellan dessa alternativ är det naturligt att beakta vilka omständigheter som gör att personuppgiftslagens allmänna regler inte är helt ändamålsenliga vid personuppgiftsbehandling i polisiär verksamhet. Här finns det anledning att peka på flera olika förhållanden. För det första är det nödvändigt att i polisiär verksamhet behandla en stor mängd uppgifter som, typiskt sett, är känsliga till sin natur och inte bör ges en vidare spridning. För det andra gör sig särskilt starka samhällsintressen gällande inom delar av polisens verksamhet, vilket medför att sedvanliga avvägningar mellan berörda intressen i viss mån måste göras på ett sätt som tillåter större intrång i integriteten än vad som annars från proportionalitetssynpunkt hade kunnat tillåtas. Omständigheter av detta slag kan göra det befogat med särskilda – från personuppgiftslagen avvikande – bestämmelser om personuppgiftsbehandling. Det sagda gäller dock i varierande grad beträffande

Ds 2007:43 En ny lag om behandling av personuppgifter…

97

olika delar av polisens verksamhet. Behovet av en särreglering är tydligast på det brottsbekämpande området. I annan polisverksamhet, t.ex. tillståndsgivning av olika slag, är behovet av särregler i förhållande till personuppgiftslagen litet eller obefintligt.

Vidare måste beaktas att svensk lagstiftning måste vara förenlig med dataskyddsdirektivet inom dess tillämpningsområde. I den utsträckning polisens verksamhet enligt 2 § polislagen omfattas av gemenskapsrätten är det därför nödvändigt att säkerställa att lagen uppfyller de krav som direktivet ställer upp. Lagtekniskt görs detta säkrast genom att personuppgiftslagen görs tillämplig på verksamhet som inte är undantagen från direktivets tillämpningsområde, dvs. verksamhet som inte rör allmän säkerhet, statens säkerhet eller verksamhen på straffrättens område (jfr artikel 3.2 dataskyddsdirektivet).

Vi anser därför att den nya lagen bör gälla endast behandling av personuppgifter som utförs i sådan polisiär verksamhet där det finns påtagliga skäl att reglera behandlingen på annat sätt än vad som följer av personuppgiftslagen.

Med denna utgångspunkt har man härefter att ta ställning till om det finns skäl att avvika från personuppgiftslagen för sådan verksamhet som avses i 2 § 4 och 5 polislagen. Till denna verksamhet hör bl.a. hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser, bl.a. biträde enligt räddningstjänstlagen (punkten 4). Hit hör också åligganden av skilda slag inom området för offentlig förvaltning, t.ex. tillstånds- och tillsynsärenden av olika slag (avseende exempelvis vapen, sprängämnen, offentliga tillställningar och nyttjande av allmän plats), passärenden och ärenden om delgivning eller annan handräckning (punkten 5). Hit hör också vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. Utredningen har ansett att dessa övriga verksamheter inte bör omfattas av en ny reglering. Enligt utredningen finns det i dessa fall inte något tydligt behov av särregler i förhållande till personuppgiftslagen.

Vi delar utredningens uppfattning. Det skulle i och för sig ha ett visst praktiskt värde om all personuppgiftshantering reglerades av en och samma lag, eftersom man därigenom skulle slippa

En ny lag om behandling av personuppgifter… Ds 2007:43

98

en del gränsdragningssvårigheter. Något mer påtagligt behov av en sådan samlad reglering har dock inte framkommit. Det är inte heller säkert att de begränsningar i personuppgiftsbehandlingen som bör finnas i den nya lagen skulle vara ändamålsenliga utanför den brottsbekämpande verksamheten. Som exempel kan nämnas att polisen när den biträder vid räddningsuppdrag bör ha samma möjligheter som övriga ansvariga myndigheter att behandla personuppgifter. Till detta kommer, som utredningen har påpekat, att det är tveksamt om polisens icke-brottsbekämpande verksamhet kan anses undantagen från dataskyddsdirektivets tillämpningsområde.

Nästa fråga är om all den verksamhet som omfattas av polisdatalagen också bör omfattas av den nya lagen. Som ovan har konstaterats gäller polisdatalagen också för behandling av personuppgifter i verksamhet som avser övervakning av allmän ordning och säkerhet (jfr 2 § 2 polislagen). Begreppet allmän ordning och säkerhet är vittomfattande. Det inrymmer större delen av den polisverksamhet som inte är inriktad på brottsbekämpning. Hit räknas bl.a. polisens allmänna övervakning i form av patrullering, trafikpolisverksamheten, utryckningsberedskapen, gränskontroll och skyldigheten att bedriva jakt- och fisketillsyn samt annan tillsyn över naturområden. Tillståndsgivning räknas inte hit, men däremot kan den kontroll som tillståndsgivande myndighet enligt vissa författningar ska utöva göra det, t.ex. kontrollen av att ett tillstånd för allmän sammankomst följs. I ett enskilt fall kan den ordningshållande verksamheten övergå i brottsbekämpning, t.ex. om en trafikpolis stoppar en fortkörare och utfärdar en ordningsbot eller om en efterlyst brottsling påträffas vid gränskontroll.

Enligt vår uppfattning är behovet av särregler i förhållande till personuppgiftslagen mycket tydligt när det gäller den brottsbekämpande verksamheten. Så är emellertid inte fallet när det gäller den ordningshållande verksamheten, som i dag till största delen styrs av personuppgiftslagen. Särreglerna i polisdatalagen rör nämligen i huvudsak brottsbekämpande verksamhet. Vi anser att

Ds 2007:43 En ny lag om behandling av personuppgifter…

99

denna ordning bör gälla även fortsättningsvis. Den nya lagen bör således endast omfatta polisens brottsbekämpande verksamhet.

Med hänvisning till det som sagts ovan föreslår vi att den nya lagen ska omfatta polisens brottsbekämpande verksamhet. Med brottsbekämpande verksamhet avser vi verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott.

Polisdatalagen omfattar inte personuppgiftsbehandling som sker med stöd av lagarna om belastningsregister, misstankeregister, Schengens informationssystem samt passagerarregister. Dessa lagar avser särskilda register eller informationssystem och har väl avgränsade tillämpningsområden. Några påtagliga tilllämpningssvårigheter eller problem med denna särreglering har inte framkommit. Den nya lagen bör, i vart fall tills vidare, inte gälla på de områden som omfattas av dessa lagar.

Den nya lagen bör inte heller omfatta behandling inom ramen för polisens allmänna spaningsregister. Vi återkommer till denna fråga i avsnitt 20.

När det gäller insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning och kameraövervakning finns redan bestämmelser i rättegångsbalken, lagen (1998:150) om allmän kameraövervakning, lagen (1995:1506) om hemlig kameraövervakning och lagen (1952:98) med särskilda bestämmelser om tvångsmedel i vissa brottmål. Särskilda bestämmelser finns dessutom i lagen (1988:97) om förfarandet hos kommunerna, förvaltningsmyndigheterna och domstolarna under krig eller krigsfara m.m. Som utredningen har föreslagit bör dessa bestämmelser också fortsättningsvis reglera förutsättningarna för sådan insamling. Från den nya lagens tillämpningsområde bör alltså undantas insamling av personuppgifter som utförs med stöd av dessa lagar. Sedan uppgifterna väl har samlats in bör de dock omfattas av den nya lagens bestämmelser. Om riksdagen godkänner de föreslagna reglerna om hemlig rumsavlyssning (prop. 2005/06:178), bör motsvarande gälla för den typen av tvångsmedel.

En ny lag om behandling av personuppgifter… Ds 2007:43

100

I den elektroniska hanteringen av uppgifter kan det vara svårt att skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för dessa. När det gäller verksamhet som bedrivs i enskild firma är dessutom uppgifter som är hänförliga till firman, t.ex. organisationsnummer, även personuppgifter i personuppgiftslagens mening. Med hänsyn till detta anser vi att det finns skäl att låta även behandling av uppgifter om juridiska personer omfattas av vissa grundläggande bestämmelser i lagen, såsom bestämmelserna om tillåtna ändamål, personuppgiftsansvar, sökbegrepp, gallring och utlämnande av uppgifter. Samma bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (se prop. 2004/05:164, s. 55).

6.4 Skyddet för den personliga integriteten

Promemorians bedömning: Vid utformningen av de nya bestämmelserna bör intresset av en effektiv brottsbekämpning noga vägas mot intresset av ett gott skydd för den personliga integriteten.

Utredningens bedömning: Utredningen har inte behandlat denna fråga särskilt.

Remissinstanserna har inte yttrat sig särskilt i frågan. Skälen för promemorians bedömning: För att polisen ska kunna fullgöra sina uppgifter på ett effektivt sätt måste den ha lagliga förutsättningar att utnyttja en ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Uppgifter om både misstänkta, målsägande, vittnen och andra personer måste kunna behandlas. Polisen måste i olika typer av utredningar ha möjlighet att registrera och lagra uppgifter av vitt skilda slag. Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid en eller flera polismyndigheter på automatiserad väg. Dess-

Ds 2007:43 En ny lag om behandling av personuppgifter…

101

utom måste andra brottsbekämpande myndigheter som exempelvis Tullverket kunna få tillgång till uppgifter. Detsamma gäller de åklagare som leder förundersökningar. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas med brottsbekämpande myndigheter i andra länder.

En effektiv brottsbekämpning förutsätter alltså att polisen har möjlighet att använda sig av en väl fungerande informationsteknik. Detta innebär dock – på motsvarande sätt som vissa inslag i den operativa polisverksamheten – en risk för intrång i den personliga integriteten. Varje behandling av personuppgifter kan per definition sägas utgöra ett intrång i den personliga integriteten och det är uppenbart att sådana intrång i viss utsträckning måste tillåtas. Intrånget måste dock stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen. Redan i 1 kap. 2 § slås fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet. I 2 kap. 3 § sägs att varje medborgare, i den utsträckning som anges i lag, ska skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den sistnämnda bestämmelsen riktar sig framförallt till den lagstiftande makten, som ska se till att den enskilde ges det skydd som behövs. Den lag som i dag har till syfte att i första hand uppfylla regeringsformens intentioner i fråga om integritetsskydd i automatiserad verksamhet är personuppgiftslagen. Den lagen kompletteras, såvitt nu är av intresse, av polisdatalagen. Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i sekretesslagen samt i de andra registerlagar som reglerar polisens register.

Begreppet personlig integritet är inte definierat vare sig i lag eller annan författning. Ett sätt att beskriva begreppet är dock att skilja mellan olika former av handlanden som kan anses kränka den personliga integriteten. Man kan då sortera in handlanden som utgör intrång i integriteten i tre huvudkategorier: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan

En ny lag om behandling av personuppgifter… Ds 2007:43

102

mening; 2) insamlande av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan användning av uppgifter om en persons privata förhållanden (se Stig Strömholm, SvJT 1971 s. 695 och Individens skyddade personlighetssfär, i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980). Ett annat sätt att beskriva begreppet är att skilja mellan olika former av integritet med utgångspunkt från bl.a. de grundläggande fri- och rättigheterna i 2 kap. regeringsformen (se t.ex. SOU 1984:54 s. 42). Med denna utgångspunkt utgör regler om dataskydd bestämmelser som tar sikte på den personliga integriteten såvitt avser respekten för privatlivet. Bestämmelser om skydd för privatlivet kan också sägas vara inriktade på att tillvarata integriteten i ideell mening (se SOU 1992:84 s. 187). Gemensamt för beskrivningarna synes vara att de alla utgår från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (prop. 2005/06:173 s. 15).

Även om det alltså inte är möjligt att definiera vad som avses med begreppet personlig integritet torde det stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller de ändamål för vilka behandling av personuppgifter ska få ske, arten av de personuppgifter som ska få behandlas, vilka som ska ha tillgång till uppgifterna – genom direktåtkomst eller på annat sätt –, hur sökning ska få ske samt hur lång tid personuppgifterna ska få sparas. Ju fler uppgifter som får behandlas, ju större möjligheter till sammanställningar och sökningar som ges och ju längre tid som uppgifterna får sparas, desto större är, typiskt sett, integritetsintrånget.

I 2 kap. 12 § regeringsformen finns en proportionalitetsprincip med innebörd att viss rättighetsinskränkande lagstiftning aldrig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Även om bestämmelsen i formell mening inte gäller för just den paragraf i samma kapitel (3 § andra stycket) som reglerar integritetsskyddet vid automatisk behandling av personuppgifter, står det klart att en proportiona-

Ds 2007:43 En ny lag om behandling av personuppgifter…

103

litetsprincip i vid mening gäller för all lagstiftning. En proportionalitetsprincip finns också i Europakonventionen (artikel 8).

Med hänvisning till det som sagts ovan måste alltså den närmare utformningen av de nya bestämmelserna föregås av en avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skyddet för den personliga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella att behandla i brottsbekämpande verksamhet ofta är särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. För den enskilde kan blotta det förhållandet att omfattande uppgifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga inom polisens verksamhet uppfattas som ett mycket allvarligt integritetsintrång.

I de följande avsnitten kommer vi att närmare redovisa hur polisens behov av att kunna behandla vissa uppgifter lämpligen bör vägas mot intresset av skyddet för den personliga integriteten. Vi vill dock redan här framhålla några allmänna utgångspunkter för våra bedömningar.

Det är till att börja med viktigt att lagen klart och tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Eftersom den nya lagen kommer att medge behandling av en stor mängd integritetskänsliga uppgifter, bör en utgångspunkt vara att lagen uttömmande ska ange för vilka ändamål behandling är tillåten. Detta gäller såväl vid sådan behandling som består i insamling av uppgifter som vid behandling av annat slag, exempelvis tillhandahållande av insamlad information till andra myndigheter. Vidare bör det, på samma sätt som i dag, finnas särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter om någons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Risken för otillbörliga intrång i den personliga integriteten är större när uppgifter registreras och lagras på ett sådant sätt att flera personer vid en eller flera myndigheter har möjlighet att ta

En ny lag om behandling av personuppgifter… Ds 2007:43

104

del av dem, än när en enskild person behandlar uppgifter vid sin egen dator utan att någon annan har åtkomst till uppgifterna. Det bör därför införas särskilda inskränkande bestämmelser för sådan behandling av personuppgifter som innebär att uppgifterna görs gemensamt tillgängliga i den brottsbekämpande verksamheten och för behandling av personuppgifter som har gjorts gemensamt tillgängliga.

En förutsättning för att polisen ska kunna bedriva ett framgångsrikt brottsförebyggande arbete är att polisen får behandla uppgifter om personer som inte är misstänkta för något konkret brott, men ändå misstänks ägna sig åt brottslig verksamhet. Bestämmelser som ger polisen möjligheter att bygga upp stora samlingar av uppgifter om enskilda, utan att det finns någon anknytning till ett visst brott, kan emellertid inge särskilda betänkligheter från integritetssynpunkt. En utgångspunkt bör därför vara att det för polisens del bör uppställas mera restriktiva bestämmelser för behandlingen av uppgifter som inte har samband med ett konkret brott än för behandlingen av uppgifter som behövs för att utreda och beivra ett konkret brott.

I ett integritetsskyddsperspektiv är det också viktigt att särskilja olika typer av uppgifter. Det är särskilt viktigt att det inte uppstår missuppfattningar om huruvida den person som en behandlad uppgift rör är brottsmisstänkt eller inte. Detta kommer bl.a. till uttryck i Europarådets rekommendation om användningen av personuppgifter inom polissektorn (se avsnitt 4.2.3). En utgångspunkt bör därför vara att det av varje behandlad personuppgift framgår huruvida behandlingen sker för att personen är misstänkt eller inte. Det bör också gå att utläsa om de behandlade uppgifterna kan anses tillförlitliga, exempelvis om informationen består av kontrollerade fakta eller av endast antaganden eller obekräftade rykten.

När man avgör vilket intrång i den personliga integriteten som olika former av behandling av personuppgifter innefattar, finns det anledning att särskilt beakta i vilken utsträckning uppgifterna finns tillgängliga för sökning och sammanställning. Ju större möjligheter det finns att söka och sammanställa insamlade

Ds 2007:43 En ny lag om behandling av personuppgifter…

105

och lagrade uppgifter, desto större är risken för att behandlingen av personuppgifter leder till oproportionerliga intrång i de registrerades personliga integritet. Mot denna bakgrund bör särskilda regler gälla för användning av bl.a. namn och personnummer som sökbegrepp i polisens brottsbekämpande verksamhet.

De brottsbekämpande myndigheterna måste kunna utbyta information sinsemellan och, i viss utsträckning, lämna information till andra myndigheter. För att uppnå en hög effektivitet i informationsutbytet behöver myndigheterna kunna utnyttja tillgängliga tekniska hjälpmedel. Särskilt stor betydelse har möjligheten att vid behov snabbt kunna få tillgång till uppgifter hos andra myndigheter på automatiserad väg, exempelvis genom direktåtkomst. En sådan åtkomst kan dock samtidigt innebära ökade risker för integritetsintrång. Det beror dels på att system för direktåtkomst, typiskt sett, innebär att antalet personer som har tillgång till uppgifterna ökar, dels på att uppgifterna i ökad omfattning kan bli tillgängliga i andra myndigheters verksamhet även i situationer när detta inte är påkallat av strikta verksamhetsbehov i det enskilda fallet. Lagen bör därför begränsa tillgången till automatiserad information så att endast den som behöver en viss uppgift för att kunna fullgöra sina arbetsuppgifter kan få tillgång till den genom direktåtkomst.

Från brottsbekämpningssynpunkt kan det ibland vara av värde att uppgifter bevaras under en längre tid. För den enskilde innebär ett sådant bevarande emellertid att integritetsintrånget består. Att uppgifterna bevaras under lång tid medför också att den totala mängden information om en person kan komma att öka, vilket kan vara negativt från integritetsskyddssynpunkt. Det är därför nödvändigt att utforma bestämmelserna om gallring så att personuppgifter inte bevaras under längre tid än vad som är nödvändigt.

Vi återkommer i följande avsnitt till de frågor som vi nu har berört.

En ny lag om behandling av personuppgifter… Ds 2007:43

106

6.5 Den nya lagen och personuppgiftslagen

6.5.1 Förhållandet till personuppgiftslagen

Promemorians förslag: Den nya lagen ska gälla i stället för personuppgiftslagen. I lagen ska hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Lagen ska, liksom personuppgiftslagen, ha till syfte att skydda människor mot att deras personliga integritet kränks genom behandlingen av personuppgifter.

Utredningens förslag: Utredningen har föreslagit att den nya lagen ska vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som ska tillämpas i polisens verksamhet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft någon invändning mot det. Ekobrottsmyndigheten har uttalat att den föreslagna lagtekniska lösningen i och för sig framstår som tilltalande, men att det är förenat med svårigheter att bygga en lag om polisens behandling av personuppgifter på ett EG-direktiv som undantar behandling i polisverksamhet. Kriminalvårdsstyrelsen har ställt sig tveksam till förslaget och menat att det är lämpligare att den nya lagen endast hänvisar till personuppgiftslagen. Statskontoret har uttalat att förhållandet mellan personuppgiftslagen och den föreslagna polisdatalagen inte är tillräckligt utrett. Enligt Statskontoret bör det ytterligare övervägas om den nya polisdatalagen endast bör omfatta de bestämmelser som materiellt avviker från regleringen i personuppgiftslagen. Riksarkivet har ansett att bestämmelserna i personuppgiftslagen, som riktar sig mot en stor krets av behandlingar inom skilda verksamhetsgrenar, kan bli missvisande om de rakt av överförs till en så speciell verksamhet som polisens. Riksskatteverket har ansett att lagen bör hänvisa till bestämmelserna i personuppgiftslagen, i stället för att upprepa dem. Kammarrätten i Jönköping och Sveriges Domareförbund har för-

Ds 2007:43 En ny lag om behandling av personuppgifter…

107

ordat en lagstiftningsteknik som innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i den nya lagen och att det tydligt i denna hänvisas till de lagrum i personuppgiftslagen som är tillämpliga. Malmö tingsrätt har förklarat sig inte motsätta sig utredningens förslag men har påpekat att förslaget innebär att man får en reglering på polisområdet som avviker från vad som gäller i andra motsvarande fall.

Skälen för promemorians förslag: Personuppgiftslagen bygger, som nämnts i tidigare avsnitt, på EG:s dataskyddsdirektiv och är generellt tillämplig på behandling av personuppgifter. Eftersom direktivet inte omfattar behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, finns det ur EG-rättslig synvinkel i och för sig inte något som hindrar att en ny lag om behandling av personuppgifter inom polisens brottsbekämpande verksamhet utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i Europarådets dataskyddskonvention. Konventionen, med dess tilläggsprotokoll, är Sverige folkrättsligt förpliktat att följa. Trots att direktivet inte är tillämpligt i fråga om behandling av personuppgifter som sker i den brottsbekämpande verksamheten bör mot den angivna bakgrunden en reglering som avviker från de grundläggande regler och principer som kommer till uttryck i personuppgiftslagen införas bara om det finns goda skäl för det. Det kan vidare bara ske under förutsättning att regleringen är förenlig med regeringsformen och med åtaganden som följer av andra bindande internationella förpliktelser, bl.a. Europakonventionen och dataskyddskonventionen. Systematiska skäl talar vidare för att den nya regleringen bör ansluta till personuppgiftslagen. Det är således önskvärt att de bestämmelser till skydd för enskilds integritet som uppställs i personuppgiftslagen så långt möjligt tillämpas även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet.

Med hänvisning till det som sagts ovan förordar vi att personuppgiftslagens bestämmelser i väsentliga delar får gälla även i

En ny lag om behandling av personuppgifter… Ds 2007:43

108

polisens brottsbekämpande verksamhet. I denna verksamhet finns emellertid särskilda behov av att kunna behandla personuppgifter automatiserat och verksamhetens särdrag gör dessutom att personuppgiftslagens bestämmelser inte alltid är ändamålsenliga. I vissa delar bör det därför införas bestämmelser som avviker från den lagen.

Hur bör då de regler i personuppgiftslagen som bör gälla även i polisens brottsbekämpande verksamhet infogas i det nya regelverket? I tidigare lagstiftningsarbeten, där motsvarande fråga har uppkommit, har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i en viss verksamhet över huvud taget inte nämna personuppgiftslagen. Det innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda författningen inte innehåller avvikande bestämmelser (jfr 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personuppgiftslagen. Den modellen används i bl.a. polisdatalagen. Nackdelen med lösningar av dessa slag är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga.

Utredningen har föreslagit en annan modell. Förslaget innebär att den nya lagen ska vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som ska gälla för polisen. En liknande lösning gäller för personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (prop. 2006/07:46; SFS 2007:258 och 2007:259). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. En annan nackdel är att lagen blir omfattande.

Ytterligare en lösning har valts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personupp-

Ds 2007:43 En ny lag om behandling av personuppgifter…

109

giftslagen som ska vara tillämpliga. Lagrådet hade i det lagstiftningsärendet inte några invändningar mot den valda metoden. Samma lösning har nyligen också föreslagits för Kustbevakningens personuppgiftsbehandling (se SOU 2006:18). Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger ett värde i att använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett vilken myndighet det gäller. Vi föreslår därför att man väljer samma lagstiftningsteknik som i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet bör alltså gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen. Lagen bör, liksom personuppgiftslagen, ha till syfte att skydda människor mot att deras personliga integritet kränks genom behandlingen av personuppgifter. En erinran om detta bör tas in i lagens inledande paragraf.

En ny lag om behandling av personuppgifter… Ds 2007:43

110

6.5.2 Tillämpliga bestämmelser i personuppgiftslagen

Promemorians förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i polisens brottsbekämpande verksamhet:

– definitioner (3 §), – förhållandet till offentlighetsprincipen m.m. (8 §), – grundläggande krav på behandling (9 § första stycket a),

b) och e)–h),

– behandling av personnummer (22 §), – information till den registrerade (23 § och 25–27 §§), – rättelse (28 §), – säkerheten vid behandling (30–32 §§), – överföring av personuppgifter till tredjeland (33–35 §§), – personuppgiftsombud m.m. (36 § andra stycket och 38– 41 §§),

– upplysningar till allmänheten om vissa behandlingar (42 §),

– tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §),

– skadestånd (48 §) och – överklagande (51 § första stycket, 52 § första stycket och 53 §).

Var och en av de myndigheter för vilka lagen gäller ska utse ett eller flera personuppgiftsombud.

Bestämmelserna om informationsskyldighet i 23 § personuppgiftslagen ska dock inte gälla om uppgifterna samlas in i samband med ett larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Promemorians bedömning: Straffbestämmelsen i 49 § personuppgiftslagen bör inte vara tillämplig.

Ds 2007:43 En ny lag om behandling av personuppgifter…

111

Utredningens förslag: Överensstämmer i huvudsak med förslaget och bedömningen.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det. Ekobrottsmyndigheten har framhållit att bestämmelsen i 15 kap. 5 § sekretesslagen, som reglerar en myndighets skyldighet att på begäran från en annan myndighet lämna ut uppgift som den förfogar över, i dag uppfattas som en särreglering som gäller före personuppgiftslagen och polisdatalagen. Myndigheten har påpekat att det därför är nödvändigt att det klart och tydligt uttalas att 15 kap. 5 § sekretesslagen kan tillämpas som i dag. Enligt Ekobrottsmyndigheten bör det även införas en bestämmelse i personuppgiftslagen eller sekretesslagen som säger att den s.k. finalitetsprincipen får vika i de fall uppgifter får lämnas till andra myndigheter med stöd av sekretesslagen.

Skälen för promemorians förslag och bedömning

Nedan redovisar vi vår bedömning av i vilken utsträckning personuppgiftslagens bestämmelser bör vara tillämpliga vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”) och vad som utgör behandling av personuppgifter (”Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning

En ny lag om behandling av personuppgifter… Ds 2007:43

112

eller samkörning, blockering, utplåning eller förstöring”). Definitionerna gäller i dag också för personuppgiftsbehandling enligt polisdatalagen. I likhet med utredningen anser vi att det är viktigt att terminologin i den nya lagen överensstämmer med personuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen finns en erinran om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen, som reglerar allmänna handlingars offentlighet. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Paragrafen gäller i dag också för personuppgiftsbehandling hos polisen.

Enligt vår bedömning bör i klargörande syfte en hänvisning till bestämmelsen i 8 § personuppgiftslagen tas in i lagen, så att det inte råder någon tvekan om att tillämpningen av lagen inte får strida mot 2 kap. tryckfrihetsförordningen.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a) och b) anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt e)–h) ska den ansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i för-

Ds 2007:43 En ny lag om behandling av personuppgifter…

113

hållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Det är naturligt att dessa krav tillämpas även vid behandling av personuppgifter inom polisens brottsbekämpande verksamhet. Den nya lagen bör därför hänvisa till 9 § första stycket a), b) och e)–h) personuppgiftslagen.

I 9 § första stycket c) anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d) att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Punkten

d) ger uttryck för den s.k. finalitetsprincipen. Enligt paragrafens andra stycke gäller att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål generellt inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Vi anser att det inte bör tas in några hänvisningar till dessa bestämmelser i den nya lagen. I stället bör den nya lagen – såsom vi återkommer till i avsnitt 7.1 – uttömmande ange för vilka ändamål uppgifter får behandlas i polisens brottsbekämpande verksamhet. En sådan ordning innebär andra slag av begränsningar av möjligheterna till personuppgiftsbehandling än de som anges i 9 § första stycket c) och d) personuppgiftslagen.

Ekobrottsmyndigheten har tagit upp frågan om förhållandet mellan 15 kap. 5 § sekretesslagen och utredningens lagförslag. Vi återkommer till denna fråga i författningskommentaren till 2 kap. 6 §.

I 9 § första stycket i) och tredje stycket personuppgiftslagen finns bestämmelser om hur länge uppgifter får bevaras. Enligt vår mening bör frågan om gallring regleras särskilt i den nya lagen. Någon hänvisning till personuppgiftslagens bestämmelser om hur länge uppgifter får bevaras behövs därför inte i den nya lagen.

En ny lag om behandling av personuppgifter… Ds 2007:43

114

Behandling av personnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer bör således inte användas av ren slentrian. Bestämmelsen innebär att den personuppgiftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer är påkallad måste således vägas mot behovet av skydd för den personliga integriteten. Principen bör gälla även vid behandling inom polisens brottsbekämpande arbete. Den nya lagen bör därför hänvisa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Personuppgiftslagens bestämmelser om information, som ska lämnas självmant till den registrerade när uppgifter har samlats in från personen själv, och om information som ska lämnas efter ansökan av den registrerade (23 och 25–27 §§) tillämpas i dag vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller

Ds 2007:43 En ny lag om behandling av personuppgifter…

115

kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad gäller särskilda bestämmelser. Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning, eller i beslut som har meddelats med stöd av författning, särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

Dessa bestämmelser gäller, som nämnts ovan, vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet i dag. De utgör enligt vår bedömning i allt väsentligt en lämplig avvägning mellan den enskildes intresse av att få information om vilken behandling som sker av uppgifter om denne och polisens intresse av möjligheter till effektiva medel för brottsbekämpning. En hänvisning till bestämmelserna bör därför införas i den nya lagen.

I lagen bör det dock införas ett undantag från informationsskyldigheten i 23 §. Av Datainspektionens allmänna råd om information framgår att information bör lämnas muntligt när personuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. I praktiken uppstår emellertid inte sällan svårigheter att lämna information om behandlingen till den som ringer upp en kommunikationscentral om behandlingarna i kommunikationscentralernas system (KC-systemet). När en person vänder sig till polisen med ett larm eller liknande underrättelse rör det sig typiskt sett om en brådskande situation som kräver omedelbar åtgärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs vid en larmcentral är det, såsom utredningen har varit inne på, inte rimligt att kräva att polisen alltid lämnar information i samband med larm. Vi anser att information inte ska behöva lämnas om det

En ny lag om behandling av personuppgifter… Ds 2007:43

116

med hänsyn till omständigheterna inte finns tid att lämna informationen. Bedömningen av om information ska lämnas bör göras från fall till fall. I sådan verksamhet som uteslutande består i att ta emot larm torde det dock endast undantagsvis finnas tid att lämna information.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats. Dessa bestämmelser gäller idag vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas så att intrång i den personliga integriteten kan begränsas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för polisen. Vi föreslår därför att bestämmelserna i 28 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet även i fortsättningen. I den nya lagen bör det alltså tas in en hänvisning till 28 § personuppgiftslagen.

Ds 2007:43 En ny lag om behandling av personuppgifter…

117

Säkerheten vid behandling (30–32 §§)

I 3032 §§personuppgiftslagen finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Dessa bestämmelser är i dag tillämpliga vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet och de bör enligt vår bedömning gälla där även fortsättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES; 3 § personuppgiftslagen), om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Överföring till ett land som inte ingår i EU eller är anslutet till EES får också ske om landet har en ”adekvat nivå” för skyddet av personuppgifter. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

Vi anser att förbudet mot överföring till tredjeland som inte har acceptabla skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även vid behandling enligt den här föreslagna lagstiftningen. Regeringen bör även ha möjlighet att föreskriva om undantag från förbudet.

En ny lag om behandling av personuppgifter… Ds 2007:43

118

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m. (36 § andra stycket och 38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen (1998:1191) inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Någon skyldighet att anmäla de behandlingar som utförs med stöd av den nya lagen finns således inte. Lagen bör därför inte innehålla någon hänvisning till 36 § första stycket personuppgiftslagen.

I dag har regeringen enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Det gäller även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet. Så bör det enligt vår mening vara även i fortsättningen. Den nya lagen bör därför innehålla en hänvisning till 41 §.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen till den som begär det. Bestämmelsen är i dag tillämplig på de behandlingar som utförs inom ramen för polisens brottsbekämpande verksamhet men innebär ingen skyldighet att lämna ut sekretesskyddad information. Det är från integritetsskyddssynpunkt viktigt att den enskilde på ett snabbt och enkelt sätt kan få besked av polisen om vilka behandlingar som utförs i den brottsbekämpande verksamheten även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § personuppgiftslagen bör därför tas in i den nya lagen.

Den personuppgiftsansvarige kan enligt 36 § andra stycket personuppgiftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska bestämmelserna om ombudets skyldigheter i 3840 §§personuppgiftslagen tillämpas. I personupp-

Ds 2007:43 En ny lag om behandling av personuppgifter…

119

giftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. Den personuppgiftsansvarige ska anmäla ombudet hos Datainspektionen. Även ett entledigande ska anmälas hos inspektionen. Bestämmelserna gäller i dag för polisens behandling av personuppgifter.

Den nu beskrivna regleringen i personuppgiftslagen ger myndigheterna valfrihet när det gäller frågan om personuppgiftsombud ska utses. Den behandling av personuppgifter som förekommer i polisens brottsbekämpande verksamhet rör i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade har lätt att vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandlingen och om rättelse. Mot den bakgrunden bör det enligt vår mening ställas krav på att varje myndighet som omfattas av lagen ska utse personuppgiftsombud och anmäla dessa till Datainspektionen. Detta bör framgå direkt av den nya lagen. Det kan anmärkas att regeringen gjorde motsvarande bedömning i propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (se prop. 2006/07:46 s. 98).

Tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Paragrafen gäller för polisen i dag och bör vara tillämplig även fortsättningsvis. En hänvisning till den ska alltså tas in i den nya lagen.

En ny lag om behandling av personuppgifter… Ds 2007:43

120

Om Datainspektionen inte efter en begäran enligt 43 § personuppgiftslagen kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Denna bestämmelse gäller i dag för polisens personuppgiftsbehandling och utredningen har föreslagit att den ska gälla även framdeles. Beträffande andra myndigheters personuppgiftsbehandling har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. En sådan möjlighet finns exempelvis inte enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda behandling av personuppgifter i polisens brottsbekämpande verksamhet kan det alltså inledningsvis konstateras att en sådan möjlighet finns redan enligt gällande rätt. I förhållande till de myndigheter där Datainspektionen enligt vad som redovisats ovan saknar sådan möjlighet har polisen en mycket mer omfattande personuppgiftsbehandling som dessutom omfattar flera olika myndigheter. Till detta kan anmärkas att polisen, med den nya lag som vi föreslår, kommer att få möjlighet att behandla vissa typer av personuppgifter i större utsträckning än i dag. Vårt förslag lämnar också större utrymme för polisen att fatta beslut om formerna för behandlingen och vilka strukturer den ska ske i. Det sagda talar enligt vår bedömning sammantaget för att Datainspektionen även fortsättningsvis bör kunna förbjuda viss behandling, om det någon gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning bör därför göras också till 44 §.

Ds 2007:43 En ny lag om behandling av personuppgifter…

121

Frågan är sedan om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Regeringen har i flera propositioner valt att inte ge Datainspektionen någon sådan möjlighet. Detta har motiverats med att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105). Vi delar uppfattningen att vite inte bör användas mellan statliga myndigheter och föreslår därför att ett förbud enligt 44 § personuppgiftslagen inte får förenas med vite.

En hänvisning bör vidare göras till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan i dag inom polisens brottsbekämpande verksamhet och bör gälla även fortsättningsvis av de skäl som angetts ovan. Däremot bör någon hänvisning till paragrafens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras av skäl som vi nyss har nämnt.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen, som gäller i polisens verksamhet i dag, har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. I likhet med utredningen anser vi att bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

Frågan om tillsyn behandlas även i avsnitt 19.

En ny lag om behandling av personuppgifter… Ds 2007:43

122

Skadestånd (48 §)

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen gäller i dag vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Enligt vår mening bör det finnas en rätt till skadestånd vid skada och kränkning som uppstår när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen.

Överklagande (51 § första stycket, 52 § första stycket och 53 §)

I 51 § personuppgiftslagen finns en bestämmelse om att tillsynsmyndighetens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Vårt förslag om att tillsynsmyndigheten ska kunna meddela förbud enligt 44 eller 45 § personuppgiftslagen innebär att en hänvisning också bör göras till 51 §.

Enligt 51 § andra stycket får tillsynsmyndigheten bestämma att dess beslut ska gälla även om det överklagas. Frågan är om denna bestämmelse ska gälla för polisens personuppgiftsbehandling. Det kan finnas skäl som talar både för och emot detta. Systematiska skäl kan synas tala för att regleringen bör utformas på samma sätt, oavsett vem beslutet gäller. Det är emellertid svårt att se något egentligt praktiskt behov av en sådan möjlighet. Vid en samlad bedömning anser vi att tillsynsmyndigheten inte bör ges möjlighet att meddela interimistiska beslut. Hänvisningen bör därför endast avse det första stycket i paragrafen.

En myndighets beslut om information, om rättelse och underrättelse till tredje man om rättelseåtgärder, om information om automatiserade beslut och om allmänna upplysningar om pågående behandlingar får, enligt 52 § personuppgiftslagen, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt

Ds 2007:43 En ny lag om behandling av personuppgifter…

123

personuppgiftslagen får inte överklagas (53 §). Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalades att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.

Straffansvar (49 §)

I 49 § personuppgiftslagen föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Lagrådet har i ett tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att legalitetsprincipen medför att paragrafen inte kan ges motsvarande tillämpning på bestämmelser som avviker från personuppgiftslagen och som har tagits in i särlagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Däremot skulle i och för sig en hänvisning kunna tas in i den nya lagen med innebörd att straffbestämmelserna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla naturlig. Å andra sidan kommer behandlingen av personuppgifter enligt den nya lagen att utföras av personer som är anställda vid statliga myndigheter och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Som utredningen har uttalat torde det inte bli aktuellt att tilllämpa straffbestämmelsen i personuppgiftslagen mot någon anställd inom polisen (se även prop. 1997/98:97 s. 109). Det bör därför inte införas någon hänvisning till den aktuella bestämmelsen i personuppgiftslagen. Det kan tilläggas att samma bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter

En ny lag om behandling av personuppgifter… Ds 2007:43

124

i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55).

6.6 Personuppgiftsansvar

Promemorians förslag: Rikspolisstyrelsen och polismyndigheterna ska vara personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför eller som det åligger myndigheterna att utföra.

Utredningens förslag: Utredningen har föreslagit att Rikspolisstyrelsen ensam ska vara personuppgiftsansvarig för de centrala registren i polisens verksamhet.

Remissinstanserna har inte haft något att invända mot förslaget.

Skälen för promemorians förslag: Enligt 3 § personuppgiftslagen är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsansvaret kan alltså delas mellan flera.

I registerförfattningar är det vanligt att man på ett tydligt sätt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras. I polisdatalagen finns ingen generell bestämmelse om personuppgiftsansvar. I stället anges för respektive register vem som är ansvarig.

Vårt lagförslag bygger på tanken att såväl Rikspolisstyrelsen som de enskilda polismyndigheterna ska kunna hantera uppgifter elektroniskt. Det framstår därför som lämpligt att den myndighet som utför själva behandlingen också ska ha personuppgiftsansvaret. När det gäller polisverksamhet hos Ekobrottsmyndigheten bedrivs denna av poliser som har tillkallats av Rikspolisstyrelsen, som också leder sådan verksamhet som bara får utövas av anställda inom polisen. Man skulle kunna överväga om Ekobrottsmyndigheten trots detta bör ha personuppgiftsan-

Ds 2007:43 En ny lag om behandling av personuppgifter…

125

svar för den behandling som sker i polisverksamheten där. Vi anser dock att personuppgiftsansvaret för behandling av uppgifter i den verksamheten, liksom i dag, bör utövas av Rikspolisstyrelsen.

I de fall där det rör sig om behandling av uppgifter i större nationella uppgiftssamlingar, bör liksom tidigare Rikspolisstyrelsen vara personuppgiftsansvarig. Om det å andra sidan handlar om personuppgiftsbehandling inom en enskild polismyndighet, bör ansvaret ligga på denna.

Denna ordning för personuppgiftsansvaret bör komma till uttryck i den nya lagen.

6.7 Tillgången till personuppgifter

Promemorians förslag: Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. En myndighet som har direktåtkomst till personuppgifter ska ansvara för att tillgången begränsas på det sättet.

Utredningens förslag: Utredningen har inte föreslagit någon motsvarande bestämmelse.

Remissinstanserna har inte yttrat sig i frågan. Skälen för promemorians förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Den nya lagen bör därför bygga på principen att enbart de som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör tas in i den nya lagen. Bestämmelsen bör omfatta både direkt tillgång till auto-

En ny lag om behandling av personuppgifter… Ds 2007:43

126

matiserade uppgiftssamlingar och tillgång i allmänhet och gälla såväl för polisen som för de myndigheter som har direktåtkomst till uppgifterna. Som en följd av denna bestämmelse kommer polisen och de myndigheter som har direktåtkomst till uppgifterna att vara skyldiga att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter inte förekommer. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.

Det kan i detta sammanhang framhållas att modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. En av grundtankarna bakom de nya datasystem som planeras inom polisen är således att tillgången till uppgifter ska kunna begränsas på ett mer precist sätt. Rikspolisstyrelsen har under hand förklarat att en enskild tjänstemans rätt till åtkomst (behörighet) i större utsträckning kommer att knytas till viss information än till olika slags register. Därmed kan tillgången till information om en person eller uppgifter knutna till en person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer lättare att kunna avgränsas och omges av de extra integritets- och säkerhetsskydd som dessa kräver. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand bestämda behörigheter som avgör tillgången till uppgifter kommer att tas fram. Behörigheterna kommer att anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.

127

7 Tillåtna ändamål för behandlingen

7.1 Tydliga och konkreta ändamål för behandling av personuppgifter

Promemorians förslag: I lagen anges för vilka ändamål behandling av personuppgifter får ske. Uppgifter ska inte få behandlas för några andra ändamål än dessa.

Utredningens förslag: Utredningen har föreslagit att personuppgifter ska få behandlas bara om behandlingen är nödvändig för att sådan polisverksamhet som omfattas av lagen ska kunna utföras. Utredningen har vidare föreslagit att personuppgifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Skälen för promemorians förslag: Polisdatalagen innehåller bestämmelser om ändamålen för de olika register som regleras i lagen, men saknar en generell ändamålsbestämmelse. Det innebär att bestämmelserna om ändamål i 9 § första stycket c) och d) personuppgiftslagen gäller för sådan behandling av personuppgifter inom polisen som inte omfattar de särskilt reglerade registren. Enligt dessa bestämmelser får personuppgifter samlas in

Tillåtna ändamål för behandlingen Ds 2007:43

128

bara för särskilda, uttryckligt angivna och berättigade ändamål. Vilka dessa ändamål är anges inte i lagen. Vidare gäller att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen).

Det är, som vi redan har varit inne på, naturligt att den nya lagen, liksom personuppgiftslagen, utgår från att personuppgifter får behandlas enbart för vissa berättigade ändamål. Därmed kan användningen och spridningen av uppgifterna begränsas. Det är också naturligt att arten av tillåtna ändamål anges i lagen. Reglerna om ändamålen med personuppgiftsbehandlingen kan utformas på två principiellt olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet (jfr finalitetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling (vare sig det är fråga om insamling av uppgifter eller efterföljande behandling) får ske.

Vi förordar att reglerna utformas enligt det senare alternativet. Det förra alternativet innebär visserligen en viss praktisk flexibilitet och har dessutom en förebild i personuppgiftslagen och flera andra registerlagar. I förarbetena till personuppgiftslagen har det emellertid inte närmare preciserats vad som kan anses oförenligt med de ursprungliga ändamålen. Det skulle därför bli svårt att avgöra om denna förutsättning är uppfylld. Som en följd därav skulle det inte alltid gå att förutse vilken behandling som kan komma att ske. Eftersom den nya lagen ska gälla ifråga om uppgifter som, typiskt sett, är av integritetskänsligt slag är det inte tillfredsställande att låta en så oprecis bestämmelse avgöra i vilken utsträckning senare behandling av uppgifterna är tillåten. Ökad tydlighet kommer också att underlätta för tillämparna.

Lagen bör således uttömmande reglera även tillåtligheten av senare behandling av insamlade uppgifter. I lagen bör därför anges ett antal primära ändamål för behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. I avsnitten 7.2–

Ds 2007:43 Tillåtna ändamål för behandlingen

129

7.4 diskuterar vi vilka dessa ändamål bör vara. Redan här ska sägas att dessa primära ändamål enligt vår mening bör avse brottsbekämpning.

Av verksamhetsskäl bör polisen emellertid ha vissa möjligheter att behandla uppgifter som har samlats in för sådana primära ändamål även för andra ändamål. Det kan vara fråga om att polisen behöver använda uppgifterna i annan verksamhet som polisen bedriver eller att uppgifterna behövs i brottsbekämpande verksamhet som någon annan myndighet än polisen bedriver. Också dessa sekundära ändamål bör anges i lagen. Vi återkommer i avsnitt 7.6 till vilka dessa sekundära ändamål bör vara.

Bestämmelserna om att personuppgifter inte får behandlas annat än för vissa i lagen angivna ändamål bör inte få hindra rationella rutiner för diarieföring och ärendehantering. Det har föranlett oss till särskilda överväganden som vi redovisar i avsnitt 7.5.

Vi har tidigare beskrivit behovet av en mer teknikneutral lagstiftning (se avsnitt 6.1). En utgångspunkt måste därför vara att lagen, så långt det är möjligt, inte innehåller regler för vissa särskilda register. För vissa fall anser vi dock att det bör införas regler för särskilda register. Detta gäller register med uppgifter om DNA-analyser, fingeravtrycks- eller signalementsregister och penningtvättsregister. Våra överväganden i denna del redovisar vi i avsnitt 17.

Vilka närmare bestämmelser som bör gälla vid behandling av personuppgifter i Säkerhetspolisens verksamhet kommer vi in på i avsnitt 18.

I 8 § första stycket personuppgiftslagen, som enligt vårt förslag i avsnitt 6.5 ska vara tillämplig, finns en erinran om att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bestämmelser i grundlag tar alltid över bestämmelser i vanlig lag. Tryckfrihetsförordningens bestämmelser har därför på motsvarande sätt företräde framför bestämmelserna i den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Tillåtna ändamål för behandlingen Ds 2007:43

130

Behandling kommer därmed alltid att vara tillåten för att uppfylla de krav som offentlighetsprincipen ställer.

7.2 Förebygga, förhindra och upptäcka brottslig verksamhet

Promemorians förslag: Personuppgifter ska, med vissa begränsningar, få behandlas i polisens brottsbekämpande verksamhet, om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Utredningens förslag överensstämmer delvis med promemorians förslag. Utredningen har föreslagit att bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen har vidare föreslagit att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter om det är nödvändigt för att underlätta övervakning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller inte invänt mot förslaget att utmönstra begreppen kriminalunderrättelseverksamhet och kriminalunderrättelseregister. Datainspektionen har dock ansett att nuvarande regler är väl avvägda. Majoriteten av remissinstanserna har ställt sig positiva till förslaget om att införa bestämmelser om behandling av uppgifter om personer som inte är misstänkta för brott.

Ds 2007:43 Tillåtna ändamål för behandlingen

131

Skälen för promemorians förslag

Allmänna utgångspunkter

Vi har ovan föreslagit att den nya lagen ska vara tillämplig i polisens brottsbekämpande verksamhet. Inom ramen för den verksamheten förekommer personuppgiftsbehandling av vitt skilda slag.

Dels förekommer mycket sedvanligt kontorsarbete som tidigare inte utgjorde behandling av personuppgifter, men som gör det i dag med den ordbehandlingsteknik som numera används. Självklart måste den nya lagen ge polisen samma möjligheter som andra myndigheter har att använda modern teknik för att upprätta vanliga dokument, göra löpande noteringar i arbetet m.m. Det slaget av normalt teknikutnyttjande innefattar inte heller i sig några påtagliga integritetsrisker.

Dels förekommer mycket kvalificerad personuppgiftsbehandling, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett större antal personer. Det slaget av behandling ger givetvis upphov till avsevärt större risker för intrång i den personliga integriteten.

Ett sätt att komma tillrätta med sådana integritetsrisker kan vara att generellt begränsa möjligheterna till behandling av personuppgifter, t.ex. genom att uppställa mycket snäva ändamålsbestämmelser för alla slag av behandling. Mycket snäva ändamålsbestämmelser kan emellertid allvarligt försämra polisens möjligheter att använda sig av modern kontorsteknik i arbetet med att komma tillrätta med olika slag av vardagsbrottslighet. Ett generellt förbud mot behandling av uppgifter som gäller mindre allvarlig brottslighet, t.ex. snatteri, skulle sålunda innebära att polisen överhuvudtaget inte skulle kunna använda sig av sedvanlig ordbehandling i arbetet med att förebygga eller utreda sådan brottslighet. Detta är uppenbarligen inte rimligt. Ändamålsbestämmelserna bör därför utformas så att de ger utrymme för att bedriva normalt polisarbete med modern teknik.

Tillåtna ändamål för behandlingen Ds 2007:43

132

De särskilda risker som vissa slag av personuppgiftsbehandling kan ge upphov till bör alltså motverkas på annat sätt. I avsnitt 9 föreslår vi att bestämmelserna om personuppgiftsbehandling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemensamt tillgängliga och å andra sidan annan behandling. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

Begreppet kriminalunderrättelseverksamhet bör inte användas i den nya lagen

Frågan som ska besvaras i detta avsnitt är i vilken utsträckning behandling av personuppgifter bör få ske inom ramen för sådan brottsbekämpande verksamhet som inte avser utredandet eller beivrandet av ett bestämt brott. Hittills har detta slag av personuppgiftsbehandling skett inom ramen för polisdatalagens bestämmelser om kriminalunderrättelseverksamhet och kriminalunderrättelseregister.

Dessa bestämmelser utgör resultatet av en avvägning mellan effektivitetsintressena i brottsbekämpningen och skyddet för den enskildes personliga integritet. Å ena sidan måste polisen för att kunna bedriva ett framgångsrikt brottsförebyggande arbete, få behandla uppgifter om personer som inte är misstänkta för något konkret brott men väl för att utöva eller ta del i pågående eller planerad brottslig verksamhet. Å andra sidan skulle en möjlighet för polisen att utan någon närmare begränsning behandla personuppgifter som inte har samband med något konkret brott öppna vägen för en mycket omfattande behandling av personuppgifter med betydande risker för intrång i den personliga integriteten.

Med underrättelseverksamhet avses i polisdatalagen den polisverksamhet som består i att samla in, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats

Ds 2007:43 Tillåtna ändamål för behandlingen

133

eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Motsvarande definition finns i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I polisdatalagen tar begreppet sikte på all underrättelseverksamhet som bedrivs hos polisen. För sådan underrättelseverksamhet som bedrivs av annan än Säkerhetspolisen används i lagen begreppet kriminalunderrättelseverksamhet.

Som ovan har nämnts (avsnitt 6.1) tillåter polisdatalagen inte att personuppgifter behandlas i kriminalunderrättelseverksamhet annat än under vissa förutsättningar som anknyter till hur polisen ska bedriva sådan verksamhet. En första förutsättning är således att en särskild undersökning har inletts. Med begreppet särskild undersökning avses en undersökning i kriminalunderrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Har en sådan undersökning inletts, får personuppgifter behandlas, om det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Vid sådana undersökningar får personuppgifter också behandlas i kriminalunderrättelseregister, som bl.a. ska föras för att ge underlag för de nyss nämnda särskilda undersökningarna.

Som utredningen har framhållit är polisdatalagens systematik med en reglering av kriminalunderrättelseverksamhet, och i anslutning härtill av kriminalunderrättelseregister, ägnad att ge upphov till tillämpningssvårigheter. Definitionen av kriminalunderrättelseverksamhet täcker även sådan behandling av personuppgifter som rimligen inte är så känslig att den behöver regleras särskilt. Den omfattar således, utöver det arbete som sker inom ramen för särskilda undersökningar, även polisens dagliga löpande arbete med att hantera information som på olika sätt kan förebygga, förhindra eller upptäcka brottslig verksamhet. Eftersom lagen utgår från att all behandling av uppgifter för de nu

Tillåtna ändamål för behandlingen Ds 2007:43

134

aktuella ändamålen ska ske inom ramen för särskilda undersökningar eller kriminalunderrättelseregister, har den kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande. Samtidigt har regleringen föranlett oklarheter beträffande flera av de andra register som polisen för. Utredningen har pekat på att det kan ifrågasättas om inte behandlingen av personuppgifter i vissa existerande polisregister till viss del skulle kunna tolkas som kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än under de särskilda förutsättningar som gäller för behandling av uppgifter i kriminalunderrättelseverksamhet.

Av dessa skäl har utredningen föreslagit att den nya lagen inte ska innehålla bestämmelser om kriminalunderrättelseverksamhet och kriminalunderrättelseregister. I stället ska, enligt utredningens förslag, lagen innehålla bestämmelser om polisens behandling av uppgifter om personer som inte är misstänkta för brott.

Vi delar utredningens bedömning att begreppet kriminalunderrättelseverksamhet bör utmönstras från polisdataregleringen och att den nya lagen således inte ska innehålla några särskilda bestämmelser om kriminalunderrättelseregister och s.k. särskilda undersökningar. Som kommer att framgå av det följande anser vi dock att regleringen i denna del bör utformas på ett något annorlunda sätt än vad utredningen har föreslagit.

Ändamålet bör vara att förebygga, förhindra och upptäcka brottslig verksamhet

Som nyss har nämnts användes begreppet underrättelseverksamhet i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen i samma ämne. Den lagen innehåller i stället bestämmelser om behandling av personuppgifter för ändamålet att förhindra eller upptäcka brottslig verksamhet. Vi anser att samma lösning bör väljas för polisens del. I förtydligande syfte bör bestämmelsen även inne-

Ds 2007:43 Tillåtna ändamål för behandlingen

135

hålla ordet förebygga. Av den nya lagen bör alltså framgå att personuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet. Därmed kommer bestämmelsen att ge utrymme för personuppgiftsbehandling inom all egentlig brottsbekämpande verksamhet inom polisen som inte direkt kan knytas till en brottsutredning, däribland behandling i polisens underrättelseverksamhet. Både behandling av mera rutinmässig karaktär, t.ex. ordbehandling, och behandling av mera kvalificerat slag kommer att omfattas av bestämmelsen.

Behandling av personuppgifter i brottsbekämpande verksamhet där det inte finns någon misstanke om konkret brott är särskilt känslig ur integritetssynpunkt. Vi redovisar nedan under vilka närmare förutsättningar sådan behandling bör få ske. Vi kommer för enkelhetens skull att använda oss av uttrycket underrättelseverksamhet för att beskriva all den verksamhet som inryms i detta ändamål.

Den verksamhet som nu är aktuell består främst i att samla in, bearbeta och analysera information. Automatiserad behandling av personuppgifter i polisens underrättelseverksamhet är, som nyss nämnts, i dag tillåten endast i två särskilt angivna fall, dels inom ramen för en särskild undersökning, dels i underrättelseregister (1421 §§polisdatalagen). Särskilda undersökningar kan sägas utgöra projekt inom vilka olika slag av brottslig verksamhet och brottsliga fenomen utreds. Inom ramen för en särskild undersökning byggs automatiserade uppgiftssamlingar upp där de uppgifter som samlas in bearbetas och analyseras. Inom ramen för särskilda undersökningar får, till skillnad mot vad som gäller för kriminalunderrättelseregister, uppgifter om personer som inte är skäligen misstänkta för brottslig verksamhet behandlas. Möjligheten att behandla personuppgifter är överhuvudtaget friare inom ramen för en sådan undersökning. Det antal personer som arbetar med en särskild undersökning varierar kraftigt, allt från en eller ett par personer till över hundra.

Enligt vad polisen upplyst under hand finns ett fortsatt stort behov av att arbeta med särskilda undersökningar i projektform. Man anser dock att förutsättningarna för sådant arbete inte bör

Tillåtna ändamål för behandlingen Ds 2007:43

136

regleras i den nya lagen annat än om det är nödvändigt för regleringen av själva personuppgiftsbehandlingen. Polisen har vidare uttalat att det finns ett fortsatt behov av att behandla personuppgifter i större uppgiftssamlingar utanför särskilda projekt och att det för vissa fall kan vara aktuellt att möjliggöra en nationell spridning av uppgifter. I anslutning härtill har påpekats att det i praktiken endast är ett begränsat antal personer som kommer att få tillgång till uppgifter som sprids nationellt, eftersom det allmänt sett innebär en fara att sprida uppgifter av underrättelsekaraktär till en vidare krets. Den faktiska åtkomsten till uppgifterna kommer alltså att variera beroende på hur känsliga uppgifterna bedöms vara.

Polisen har också behov av att behandla personuppgifter i arbetet med att ta emot och bedöma information som kommer till polisens kännedom, exempelvis genom tips från allmänheten, och i allt annat arbete som en enskild polisman bedriver utanför ett visst projekt för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Såsom har nämnts inledningsvis, och som kommer att utvecklas närmare i avsnitt 9, anser vi att det bör gälla olika regler för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. Vi föreslår också att skillnad görs mellan behandling som sker i större och mindre projekt. Vilka utgångspunkter som enligt vår mening bör gälla för gränsdragningen mellan större och mindre projekt framgår av det avsnittet.

7.3 Utreda och beivra brott

Promemorians förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet om det behövs för att utreda och beivra brott.

Ds 2007:43 Tillåtna ändamål för behandlingen

137

Utredningens förslag: Utredningen har föreslagit att personuppgifter alltid ska få behandlas om det är nödvändigt för att bl.a. bedriva utredning i fråga om brott som hör under allmänt åtal.

Remissinstanserna har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Skälen för promemorians förslag: Att utreda och beivra brott utgör ett av polisens främsta uppdrag. Arbete av detta slag sker framför allt inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, exempelvis spaning, förhör, informationsbearbetning och olika former av beslutsfattande, bl.a. om tvångsmedelsanvändning. Till uppgiften att utreda och beivra brott hör emellertid också sådant arbete som sker inom ramen för förenklade förfaranden och vanligen utmynnar i utfärdande av strafföreläggande och föreläggande av ordningsbot. Hit hör även utredningar som polisen gör enligt reglerna i 23 kap. rättegångsbalken med stöd av bestämmelser i särskilda författningar, t.ex. utredningar enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 9 § lagen (1988:688) om besöksförbud, 8 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, 16 § lagen (1957:668) om utlämning för brott, 10 § lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge och 3 § lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I ändamålet innefattas också behandling som sker med stöd av 23 kap. 3 § och 8 §§rättegångsbalken, innan förundersökning har inletts, samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning.

Vad som skiljer arbetet med att utreda eller beivra brott från arbetet med att förhindra eller upptäcka brottslig verksamhet är att arbetet i det förra fallet utförs med anledning av att ett konkret brott har eller misstänks ha begåtts, medan arbetet i det senare fallet avser misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller allmänna misstankar om framtida brott. Det är självklart att personuppgifter måste få behand-

Tillåtna ändamål för behandlingen Ds 2007:43

138

las även inom ramen för arbetet med att utreda och beivra brott. En förutsättning bör givetvis vara att behandlingen behövs för ändamålet. I övrigt är det emellertid enligt vår mening inte lämpligt att ställa upp några särskilda begränsningar i fråga om vilka uppgifter som ska få behandlas. På samma sätt som vi har föreslagit ovan i fråga om personuppgiftsbehandling för att förebygga, förhindra och upptäcka brottslig verksamhet bör endast de grundläggande bestämmelserna i den nya lagen vara tillämpliga så länge uppgifterna inte görs gemensamt tillgängliga. Förutom uppgifter om den misstänkte bör således behandling av uppgifter om andra personer tillåtas om det har betydelse för ärendet. Det kan vara fråga om uppgifter om målsägande, vittne, anhöriga och andra som på olika sätt berörs av utredningen. Det kan även vara fråga om indirekta personuppgifter såsom fastighetsbeteckningar, registreringsnummer på bilar eller kontonummer.

7.4 Internationellt samarbete

Promemorians förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet om detta krävs för att fullgöra ett internationellt åtagande.

Utredningen har inte föreslagit några särskilda ändamålsbestämmelser för det internationella samarbetet.

Remissinstanserna har inte yttrat sig i saken. Skälen för promemorians förslag: Med ökad internationalisering och större rörlighet för såväl personer som kapital följer större krav på polisiärt samarbete över gränserna, särskilt om allvarlig och organiserad brottslighet ska kunna bekämpas effektivt. Det polisiära samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilaterala som bilaterala. En självklar utgångspunkt för vårt arbete är att Sverige på bästa sätt ska kunna fullgöra sina internationella

Ds 2007:43 Tillåtna ändamål för behandlingen

139

åtaganden i fråga om framför allt polisiärt samarbete över gränserna. Med internationella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden kan avse samarbete med en utländsk myndighet eller med en mellanfolklig organisation. Samarbetet behöver inte avse brott eller brottslig verksamhet inom den svenska polisens ansvarsområde. Det krävs därför en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter som sker inom ramen för det internationella samarbetet.

Polisens internationella samarbete regleras i en rad olika författningar. Några av de viktigaste är lagen (2000:343) om internationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:344) om Schengens informationssystem. Dessa lagar tar direkt sikte på polisiärt samarbete över gränserna. För att fullgöra bindande åtaganden om polisiärt samarbete måste polisen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det. Det som regleras i nyssnämnda författningar är främst vilka typer av samarbete som ska förekomma. Hur kommunikationen ska ske ägnas mindre utrymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (1957:668) om utlämning för brott, lagen (1959:294) om utlämning för brott till Danmark, Finland, Island och Norge och lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut, bygger också på folkrättsligt bindande överenskommelser. Indirekt ställs det samma krav på behandling av personuppgifter vid rättslig hjälp som vid polisiärt samarbete över gränserna. Enligt den svenska regleringen är det visserligen åklagare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av tvångsmedel anlitar åklagaren biträde av polisen på samma sätt som sker i en svensk brottsutredning. Det innebär att polisen i princip måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

Tillåtna ändamål för behandlingen Ds 2007:43

140

Det internationella samarbetet äger i allt större utsträckning rum genom direktkontakter mellan myndigheterna. En stor del av det polisiära samarbetet sker dock via den internationella kriminalpolisorganisationen ICPO-Interpol (Interpol) eller det polisiära samarbetsorganet inom Europeiska unionen, Europol. Det finns inte några särskilda författningar som reglerar polisens samarbete med dessa mellanfolkliga organisationer. De författningsbestämmelser som reglerar samarbetet, och som är av intresse i detta sammanhang, rör informationsutbyte och finns i polisdatalagen, lagen om belastningsregister, lagen om misstankeregister samt (såvitt gäller Europol) lagen om Schengens informationssystem.

Det kan anmärkas att det rör sig om utbyte av stora mängder information. Enligt Polisdatautredningen (SOU 2001:92 s. 131) uppgick antalet meddelanden till det svenska nationella sambandskontoret från Interpol till nästan 45 000 år 1999 och antalet meddelanden och ärenden m.m. från Europol till närmare 6 500. Dessa siffror ger tydligt besked om att det rör sig om så stora volymer att materialet omöjligen kan hanteras manuellt. Åtagandena att lämna och ta emot information måste således kunna fullgöras med hjälp av modern teknik.

Det sagda innebär att det krävs en bestämmelse som medger behandling av personuppgifter för att fullgöra internationella åtaganden. Den behandling som åsyftas kan bestå i insamlande av skriftligt material, sammanställning av förhörsutsagor, kontroll i register eller annat. Det kan röra sig om arbete som sträcker sig över en längre tid.

En stor del av det polisiära samarbetet över gränserna äger emellertid rum som ett led i utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av det primära ändamålet att utreda och beivra brott i Sverige (jfr avsnitt 7.3).

På sikt kommer sannolikt en del av dagens informationsutbyte att ersättas av system där polismyndigheter i olika länder får direktåtkomst till vissa uppgifter i varandras register. Detta in-

Ds 2007:43 Tillåtna ändamål för behandlingen

141

verkar dock inte på polisens behov av att kunna behandla uppgifter som ett led i internationellt samarbete.

7.5 Behandling av uppgifter för diarieföring m.m.

Promemorians förslag: Personuppgifter ska alltid få behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Utredningens förslag överensstämmer delvis med förslaget. Remissinstanserna har inte haft någon invändning mot förslaget.

Skälen för promemorians förslag: Som framgått av avsnitt 7.1 ovan föreslår vi att den nya lagen ska ange för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Bestämmelserna kommer att ge polisen möjlighet att behandla uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. De kommer dock inte med nödvändighet att ge stöd för behandling av alla de personuppgifter som kan komma in till polisen i form av anmälningar, tips och meddelanden av olika slag. Rikspolisstyrelsen och polismyndigheterna tar dagligen emot stora mängder av information av vitt skilda slag, ofta i elektronisk form. En del av denna information lämnas till polisen i dess brottsbekämpande verksamhet men den kan inte alltid anses behövlig för denna verksamhet. Behandlingen av uppgifterna kommer därmed inte att ligga inom ramen för de primära ändamål som vi har diskuterat i föregående avsnitt.

De inkommande personuppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 15 kap. 1 § sekretesslagen (1980:100) gäller som huvudregel att allmänna handlingar som har kommit in till eller upprättats hos en myndighet ska registreras, dvs. diarieföras, utan dröjsmål.

Tillåtna ändamål för behandlingen Ds 2007:43

142

Syftet med bestämmelsen är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 15 kap. 2 § sekretesslagen uppställs vissa minimikrav beträffande uppgifterna i ett register. När en handling registreras ska det av registret framgå (1) datum då handlingen kom in eller upprättades, (2) diarienummer eller annan beteckning som åsatts handlingen, (3) i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats samt (4) i korthet vad handlingen rör. Utgångspunkten är att dessa uppgifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna 3 och 4 får utelämnas eller särskiljas, om det behövs för att registret i övriga delar ska kunna företes för allmänheten.

Vid sidan av skyldigheten att registrera allmänna handlingar gäller enligt förvaltningslagen (1986:223) att en myndighet ska se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt.

Utredningen har föreslagit att det ska införas en särskild bestämmelse enligt vilken det alltid ska vara tillåtet att diarieföra personuppgifter och behandla dem i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Med löpande text avses enligt utredningen text som inte har strukturerats så att sökning av personuppgifter underlättas.

Vi delar utredningens bedömning att det bör införas en bestämmelse som säkerställer att polisen alltid kan diarieföra allmänna handlingar. Den nya bestämmelsen måste också tillåta att polisen kan leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså vara möjligt att ta emot en handling i elektronisk form liksom att behandla den i det ärende som handlingen föranleder. Vi föreslår att bestämmelsen utformas i huvudsaklig överensstämmelse med utredningens förslag. Dock bör uttrycket ”löpande text” inte användas, eftersom informationstekniken medger att även texter som inte på förhand har strukturerats på ett visst bestämt sätt blir föremål för detaljerade och preciserade sökningar. Av bestämmelsen bör framgå att personuppgifter alltid ska få behandlas dels om be-

Ds 2007:43 Tillåtna ändamål för behandlingen

143

handlingen är nödvändig för diarieföring, dels om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

7.6 Behandling av uppgifter för att tillhandahålla information till andra

Promemorians förslag: Uppgifter som behandlas i polisens brottsbekämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl, eller

4. annan myndighets verksamhet, om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift.

Uppgifterna ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om uppgiftsskyldighet följer av lag eller förordning. Regeringen ska även få meddela föreskrifter om att personuppgifter som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter samt att uppgifter som behandlas i en förundersökning under vissa förutsättningar får tillhandahållas en konkursförvaltare.

Utredningens förslag: Utredningen har inte föreslagit några särskilda bestämmelser om behandling av uppgifter för dessa ändamål.

Tillåtna ändamål för behandlingen Ds 2007:43

144

Remissinstanserna: Flera remissinstanser, bl.a. Tullverket, har påtalat att polisen och övriga brottsbekämpande myndigheter i allt större omfattning samarbetar inom ramen för brottsbekämpningen och att dessa myndigheter i sin egen brottsbekämpande verksamhet har behov av att få del av uppgifter som finns hos polisen.

Skälen för promemorians förslag

Allmänna utgångspunkter

En viktig fråga är i vilken utsträckning uppgifter som har samlats in i polisens brottsbekämpande verksamhet ska få användas även av andra myndigheter eller i annan verksamhet som polisen bedriver. Det rör sig alltså om behandling för ett annat ändamål än det ursprungliga. Intresset av en effektiv brottsbekämpning talar givetvis för att uppgifterna kan tillhandahållas bl.a. andra brottsbekämpande myndigheter. En vid spridning av uppgifter, insamlade i brottsbekämpande verksamhet, inger emellertid betänkligheter från integritetssynpunkt. Lagen bör därför innehålla bestämmelser om i vilken utsträckning personuppgifter får behandlas för att tillhandahållas andra än de som arbetar i polisens brottsbekämpande verksamhet.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Polisdatalagen innehåller inte någon särskild bestämmelse om att behandling av personuppgifter får ske för att tillhandahålla information till övriga brottsbekämpande myndigheter. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i den förordning som avser behandling av personuppgifter i Åklagarmyndighetens verksamhet finns dock sådana bestämmelser.

Ds 2007:43 Tillåtna ändamål för behandlingen

145

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. En väl utvecklad samverkan mellan de olika myndigheter som har ett ansvar för brottsbekämpningen ger förutsättningar att klara upp brott som annars skulle riskera att förbli ouppklarade. Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottsliga aktiviteter inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas tillvara för sådant informationsutbyte. Så bör t.ex. möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst förbättras. De särskilda integritetsrisker som direktåtkomst och andra former av elektroniskt informationsutbyte i och för sig kan ge upphov till torde kunna balanseras genom särskilda bestämmelser som vi kommer att diskutera i avsnitt 12.

Enligt vår bedömning bör det därför i den nya lagen uttryckligen anges att de uppgifter som behandlas i polisens brottsbekämpande verksamhet får användas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet.

Tillhandahållande av information till annan polisiär verksamhet

För att polisen ska kunna fullgöra arbetsuppgifter som faller utanför den brottsbekämpande verksamheten behöver man ibland ha tillgång till uppgifter som har samlats in för brottsbekämpande ändamål. Uppgifter som behandlas inom den brottsbekämpande verksamheten behöver alltså i viss utsträckning användas även i annan polisverksamhet. En mera generell användning av information, insamlad för brottsbekämpande ändamål, i annan polisverksamhet inger emellertid betänkligheter från integritetssynpunkt, bl.a. därför att det skulle leda till ytterligare spridning av informationen.

De områden där polisen, typiskt sett, kan ha behov av att få del av information som har samlats in i den brottsbekämpande

Tillåtna ändamål för behandlingen Ds 2007:43

146

verksamheten gäller bl.a. arbete med att (1) förordna vissa befattningshavare, (2) pröva tillståndsärenden, (3) fullgöra sin skyldighet enligt författning att bistå andra myndigheter (handräckningsskyldighet), och (4) besluta om att en tvångsåtgärd ska verkställas när fara är i dröjsmål enligt t.ex. djurskyddslagen (1988:534) och utlänningslagen (2005:716).

I polisens arbete med att förordna befattningshavare ställs ofta krav på att förordnande eller liknande endast får beslutas om personen är lämplig med hänsyn till laglydnad och övriga omständigheter. Det kan vara fråga om befattningshavare som till följd av förordnandet får utöva tvångsbefogenheter mot medborgarna, t.ex. ordningsvakter, vägtransportledare och arrestantvakter. Vid bedömningen av en persons lämplighet för en sådan befattning kan uppenbarligen information som har kommit polismyndigheten tillhanda genom den brottsbekämpande verksamheten vara av betydelse.

I tillståndsärenden ska det ofta göras en prövning av sökandens "laglydnad och övriga omständigheter". Prövningen kan vara av betydelse för om tillstånd ska ges eller ej eller avgöra om polis av ordningsskäl bör närvara när verksamheten äger rum. Exempel på sådana ärenden är tillstånd enligt 2 kap. ordningslagen (1993:1617) till allmän sammankomst och offentlig tillställning, tillstånd enligt 3 kap. ordningslagen till användande av offentlig plats, skjutbana, pyrotekniska varor, luft- eller fjädervapen och tillstånd att skjuta med eldvapen inom detaljplanlagt område, tillstånd att bedriva hotell- och pensionatsrörelse, tillstånd att handha explosiva varor och tillstånd att inneha vapen.

Ett tredje område där information från den brottsbekämpande verksamheten kan vara av betydelse avser polisens handräckningsskyldighet i förhållande till andra myndigheter. Att polisen är skyldig att bistå andra myndigheter med hjälp i deras verksamhet motiveras oftast med att endast några få yrkeskategorier bör få utöva legitimt våld i samhället (våldsmonopol). Handräckningsskyldigheten uppstår därför ofta i situationer där begärande myndighet ska vidta någon åtgärd i strid med en enskilds vilja. Det kan då vara viktigt att den polis som utför upp-

Ds 2007:43 Tillåtna ändamål för behandlingen

147

draget kan få del av information om den som handräckningen gäller, t.ex. om hans eller hennes våldsbenägenhet. Exempel på en författning som innehåller bestämmelser om handräckningsskyldighet är lagen (1991:1128) om psykiatrisk tvångsvård.

I en del fall är polisen enligt författning antingen skyldig att besluta och verkställa en tvångsåtgärd, som därefter ska överprövas av annan myndighet, eller skyldig att verkställa en tvångsåtgärd till följd av en annan myndighets beslut. Ett exempel på en sådan författning är djurskyddslagen. Ett annat exempel är utlänningslagen (verkställighet av avvisnings- och utvisningsbeslut). Också här kan polisen ha behov av information från polisens brottsbekämpande verksamhet om exempelvis den aktuella personens farlighet.

Att polisen enligt vad som sagts ovan kan ha behov av att få del av information som samlats in i den brottsbekämpande verksamheten bör givetvis inte föranleda ett rutinmässigt tillhandahållande av sådana uppgifter. I de flesta ärenden kan polisens informationsbehov tillgodoses genom tillgången till uppgifter i misstanke- och belastningsregistren. Möjligheten att få tillgång till uppgifter som har samlats in i den brottsbekämpande verksamheten bör därför begränsas till sådana fall där det i det enskilda fallet finns särskilda skäl som talar för att sådana uppgifter tillhandahålls. En bestämmelse av denna innebörd bör tas in i den nya lagen.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Polisen måste kunna behandla personuppgifter i den utsträckning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om översändande av uppgifter till Interpol. Likaså måste polisen kunna utföra sådan behandling som krävs för att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informations-

Tillåtna ändamål för behandlingen Ds 2007:43

148

utbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta är ett allmänt åtagande enligt överenskommelsen men inte ett bindande krav. I lagen bör därför tas in en bestämmelse om att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vi återkommer i det följande till olika frågor som rör informationsutbyte och sekretess i det internationella samarbetet (avsnitten 12.3.6 och 13.3).

Tillhandahållande till riksdagen eller regeringen eller till annan myndighet med stöd av bestämmelser om uppgiftsskyldighet

Enligt 14 kap. 1 § sekretesslagen hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Detsamma gäller lämnande av uppgifter till annan myndighet, om det finns en uppgiftsskyldighet i lag eller förordning. Mot bakgrund härav bör det i den nya lagen anges att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Det bör även anges att uppgifter får behandlas för att tillhandahållas annan myndighets verksamhet om det enligt lag eller förordning åligger polisen att tillhandahålla sådan information. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I sammanhanget bör 15 kap. 5 § sekretesslagen uppmärksammas. Enligt denna paragraf ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen i 15 kap. 5 § sekretesslagen innefattar enligt vår mening ingen uppgiftsskyldighet i nu aktuellt hänseende. Den föreslagna bestämmelsen ger därför inte utrymme för sådan behandling

Ds 2007:43 Tillåtna ändamål för behandlingen

149

som enbart syftar till att möjliggöra ett utlämnande med stöd av 15 kap. 5 § sekretesslagen.

Tillhandahållande av information till annan myndighet i andra fall

Ovan har vi föreslagit att personuppgifter ska få behandlas för att lämnas ut till en annan myndighet, om detta följer av en uppgiftsskyldighet i lag eller förordning. Dessutom måste polisen ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att biträda en annan svensk myndighet. Detta kan exempelvis bli aktuellt när polisen bistår Riksdagens ombudsmän och Justitiekanslern med uppgifter i de fall där dessa uppträder som förundersökningsledare och åklagare. En bestämmelse om detta bör tas in i den nya lagen.

Bemyndigande för regeringen att meddela föreskrifter om behandling för tillhandahållande av uppgifter i vissa särskilda fall

Enligt 17 § polisdataförordningen har polisen möjlighet att till vissa myndigheter lämna ut uppgifter om efterlysta personer och avlägsnanden ur riket. Det finns även en möjlighet att till konkursförvaltare lämna ut uppgifter i en förundersökning som kan antas ha betydelse för en konkursutredning. Den nya lagen bör innehålla en bestämmelse som erinrar om att regeringen får meddela nya sådana bestämmelser.

151

8 Behandling av känsliga personuppgifter m.m.

Promemorians förslag: Uppgifter om en person ska inte få behandlas på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska dock få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter om en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Utöver den behandling som har stöd i de särskilda bestämmelser som vi föreslår om register med uppgifter om resultatet av DNA-analyser (se avsnitt 17) ska uppgifter om resultat av sådana analyser endast få behandlas inom ramen för en förundersökning.

Utredningens förslag: Överensstämmer i huvudsak med promemorians förslag.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det.

Behandling av känsliga personuppgifter m.m. Ds 2007:43

152

Skälen för promemorians förslag

Känsliga personuppgifter

Enligt 5 § polisdatalagen får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning. Om uppgifter om en person redan behandlas på annan grund, får dock uppgifterna kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen. Denna bestämmelse överensstämmer med Europarådets rekommendation om användning av personuppgifter inom polissektorn m.m. Innebörden av bestämmelsen är t.ex. att det inte är tillåtet att föra särskilda register över personer med viss sexuell läggning. Förekommer personen i en förundersökning eller något annat ärende, får dock uppgiften om sexuell läggning antecknas, om det bedöms vara oundgängligen nödvändigt för syftet med behandlingen.

Vi föreslår att bestämmelserna i 5 § polisdatalagen överförs till den nya lagen. På motsvarande sätt som enligt personuppgiftslagen och lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör dock, som en remissinstans har påpekat, uttrycket sexualliv användas i stället för sexuell läggning. Vidare bör uttrycket oundgängligen ersättas med absolut. Slutligen bör det i lagtexten anges att uppgifter som beskriver en persons utseende alltid ska utformas på ett objektivt sätt och med respekt för människovärdet. Detta överensstämmer med den motsvarande bestämmelsen i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Polisen bör ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande även om dessa innehåller känsliga personuppgifter. Det bör därför anges i lagtexten att känsliga personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. I

Ds 2007:43 Behandling av känsliga personuppgifter m.m.

153

avsnitt 11.1 behandlas frågan om användandet av känsliga personuppgifter som sökbegrepp.

Behandling av uppgifter om resultat av DNA-analyser

En helt annan typ av uppgifter som också brukar betraktas som särskilt känsliga är uppgifter om det slutliga resultatet av DNAanalyser i form av DNA-profiler. Skälet till att just sådana uppgifter brukar anses vara känsliga är det förhållandet att en DNAprofil kan innehålla annan genetisk information än enbart den som krävs för identifiering, t.ex. uppgift om sjukdomsanlag och liknande. I den nuvarande lagstiftningen finns det regler för provtagning för DNA-analys i brottmål, för hur proven ska hanteras, för vilka uppgifter som får tas fram vid analys av DNAprov samt för registreringen av resultatet av analysen.

De skäl som tidigare har anförts för att kringgärda provtagning och analys av DNA-prov samt registrering av DNA-profiler och DNA-spår med särskilda regler har alltjämt bärkraft. Den nuvarande regleringen innebär att från levande människor får prov för DNA-analys enbart tas inom ramen för en förundersökning för brott på vilket fängelse kan följa (28 kap.1212 b §§rättegångsbalken).

Den nya lagen bör enligt vår mening innehålla en reglering som gör tydlig skillnad mellan dels behandling av DNA-profilen, dels uppgifter som enbart återger analysarbetet och den eventuella identifiering som detta har lett fram till. Enligt vår mening bör behandlingen av DNA-profilen, dvs. hantering av DNAprov, analysarbete och jämförelser med uppgifter i befintliga DNA-register, endast få förekomma inom ramen för en förundersökning. Detta bör komma till uttryck i lagen. I praktiken rör det sig framför allt om den hantering som sker hos Statens kriminaltekniska laboratorium. Som vi återkommer närmare till i avsnitt 17 bör de särskilda DNA-registren, där DNA-profiler och DNA-spår registreras, regleras på i huvudsak samma sätt som i dag.

Behandling av känsliga personuppgifter m.m. Ds 2007:43

154

När det gäller behandlingen av den information som slutligen kan utvinnas av ett DNA-prov, dvs. utlåtandet över analysarbetet och uppgifter om eventuell identifiering, behövs det enligt vår mening inte några särskilda regler. Frågan om en uppgift om att någon förekommer i ett DNA-register eller utlåtanden över DNA-analyser får behandlas i polisens verksamhet får således avgöras av den allmänna regleringen i den av oss föreslagna lagen. Detta innebär att sådana uppgifter kan behandlas inte bara för att utreda och beivra brott utan även för att förebygga, förhindra eller upptäcka brottslig verksamhet, om förutsättningarna i övrigt för en sådan behandling är uppfyllda.

Enligt 22 § andra stycket polisdatalagen får uppgifter om resultatet av DNA-analyser även behandlas inom ramen för särskilda undersökningar. Av förarbetena kan inte utläsas i vilka situationer en sådan behandling, dvs. behandlingen av DNAprofilen, skulle kunna aktualiseras och vilket praktiskt behov bestämmelsen avser att fylla. Våra underhandskontakter med myndigheter inom polisväsendet har inte heller kunnat bidra med några uppgifter om detta. Som vi tidigare redovisat kommer begreppet särskild undersökning inte att föras över till den nya lagen. Mot den bakgrunden och då vi inte kunnat finna något sakligt behov som motiverar att så känsliga uppgifter får behandlas utanför förundersökningar, föreslår vi inte någon motsvarighet till bestämmelsen om behandling av sådana uppgifter i särskilda undersökningar.

I avsnitt 17 överväger vi särskilda bestämmelser om register med uppgifter om resultatet av DNA-analyser.

155

9 Gemensamt tillgängliga uppgifter

9.1 Särskilda regler bör gälla för behandling av gemensamt tillgängliga uppgifter

Promemorians förslag: I stället för bestämmelser om register och databaser ska den nya lagen innehålla särskilda bestämmelser om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, t.ex. genom vanlig ordbehandling eller genom e-postkommunikation mellan ett fåtal tjänstemän, ska inte omfattas av dessa bestämmelser. Registerbegreppet behålls för vissa särskilda fall.

Utredningens förslag: Utredningens förslag innehåller inte några bestämmelser som särskilt avser gemensamt tillgängliga uppgifter.

Remissinstanserna har inte yttrat sig i frågan.

Gemensamt tillgängliga uppgifter Ds 2007:43

156

Skälen för promemorians förslag

Gemensamt tillgängliga uppgifter – ett nytt begrepp

Den nya lagen kommer att gälla för all automatiserad behandling av personuppgifter i polisens brottsbekämpande arbete. Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild eller begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkommunikation. Som framhållits i andra lagstiftningsärenden är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i verksamheten än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Därför är det enligt vår mening nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer.

Frågan är då hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga.

I tidigare lagstiftning om personuppgiftsbehandling har begreppen register och databas använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Till respektive register har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall (bl.a. några av de register som vi vill undanta från den nya lagens tillämpningsområde samt DNA-register) går utvecklingen mot att registerformen överges för mer sofistikerade datasystem.

Ds 2007:43 Gemensamt tillgängliga uppgifter

157

Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar”. Beteckningen uppgiftssamling används i den nyligen antagna lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Vi anser dock inte att det begreppet är ändamålsenligt för polisens del, bl.a. därför att det kan ge intryck av att det finns i förväg definierade och avgränsade uppgiftssamlingar för all behandling i den brottsbekämpande verksamheten, trots att så inte är fallet. Eftersom den nya regleringen ska omfatta all automatiserad behandling, bör ett annat begrepp väljas. I betänkandet Kustbevakningens personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) föreslås i stället för databas, register eller uppgiftssamling uttrycket gemensamt tillgängliga uppgifter för att uttrycka samma sak. Enligt vår bedömning är en sådan konstruktion mera ändamålsenlig för de förhållanden som gäller inom polisen. Vi anser därför att den nya lagen bör innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. I det följande anger vi dock några principer som enligt vår bedömning bör ligga till grund för gränsdragningen.

Gemensamt tillgängliga uppgifter Ds 2007:43

158

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Det här innebär till att börja med att uppgifter blir att anse som gemensamt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela polisorganisationen – ska kunna ta del av uppgifterna. De centrala register som Rikspolisstyrelsen för har just syftet att tillgodose informationsbehovet inom olika delar av organisationen. Som exempel på sådana register kan nämnas det allmänna spaningsregistret, det centrala kriminalunderrättelseregistret och det centrala brottsspaningsregistret. I dessa och liknande system lagras uppgifter på ett sådant sätt att många anställda har möjlighet att vid behov kunna ta del av uppgifterna, t.ex. under arbetet med en förundersökning eller för att genomföra ett underrättelseprojekt. På liknande sätt blir uppgifter som är avsedda för en hel polismyndighet eller för en viss enhet inom polisorganisationen normalt att anse som gemensamt tillgängliga. Som exempel kan nämnas lokala system som Rationell anmälningsrutin (RAR) och Datoriserad utredningsrutin (DurTvå). Detsamma gäller diarier och andra lokala register. Också andra uppgifter som är tillgängliga för en i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Det innebär exempelvis att de flesta förundersökningar redan från början kommer att vara gemensamt tillgängliga, även om det bara är ett fåtal handläggare som arbetar med förundersökningen. Överhuvudtaget kommer begreppet ”gemensamt tillgängliga uppgifter” att täcka inte enbart register i

Ds 2007:43 Gemensamt tillgängliga uppgifter

159

traditionell bemärkelse utan alla uppgiftssamlingar, avsedda för en obestämd krets av personer.

Vidare bör uppgifter givetvis vara att anse som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. De personuppgifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av ett handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna. En jämförelse kan härvid göras med den relativt omfattande personuppgiftsbehandling som i dag tillåts inom ramen för en särskild undersökning med stöd av 1416 §§polisdatalagen.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock vara att kretsen omfattar endast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta. En lämplig tumregel kan vara att uppgifter anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem.

Det är emellertid inte bara antalet personer som har tillgång till uppgifterna som är av betydelse. Från integritetssynpunkt har det också betydelse om uppgifterna stannar inom polisen eller

Gemensamt tillgängliga uppgifter Ds 2007:43

160

om de sprids till andra myndigheter. I det senare fallet har polisen inte längre någon kontroll över hur uppgifterna används. Som vi återkommer till i avsnittet om direktåtkomst förutsätter sådan åtkomst för andra myndigheter att uppgifterna har gjorts gemensamt tillgängliga.

I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del brottsbekämpande verksamhet, främst underrättelseverksamhet, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt har inte sällan en obestämd varaktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot ungdomsbrottsligheten på en viss ort eller underrättelseprojekt avseende viss typ av mckriminalitet eller häleriverksamhet i en viss bransch. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt, t.ex. en sammanställning över gängbrottsligheten på en viss ort, bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid. Det kan t.ex. vara fråga om sammanställningar av uppgifter ur förundersökningar eller annat material som samlats in i den brottsbekämpande verksamheten.

Givetvis bör detta inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, bör detta inte göra att uppgifterna anses vara gemensamt tillgängliga, även om han eller hon har för avsikt använda dem under längre tid. På samma sätt bör man se det om några enstaka tjänstemän sammanställer material från vissa förundersökningar för att själva kunna använda det i sina framtida utredningar. Vi återkommer i författningskommentaren till den närmare avgränsningen mellan gemensamt tillgängliga och icke gemensamt tillgängliga uppgifter.

Ds 2007:43 Gemensamt tillgängliga uppgifter

161

Behovet av enhetlig tillämpning

Eftersom man enligt vår mening inte bör i författning lägga fast en formell gräns mellan de uppgifter som ska anses gemensamt tillgängliga och de uppgifter som inte är det, kommer det att finnas ett stort behov av interna riktlinjer för polisens tillämpning av det nya begreppet. Vi utgår därför från att Rikspolisstyrelsen noga ser till behovet av riktlinjer och utbildning av personalen.

9.2 Förebygga, förhindra och upptäcka brottslig verksamhet

Promemorians förslag: I verksamhet som avser att förebygga, förhindra och upptäcka brottslig verksamhet ska enbart följande personuppgifter få göras gemensamt tillgängliga.

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av personer som

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och

b) är allvarligt kriminellt belastade eller kan antas vara farliga för annans personliga säkerhet.

Tillgången till uppgifter om övervakning av personer ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgänglig för flera.

Utredningens förslag överensstämmer delvis med promemorians förslag. Utredningen har föreslagit att bestämmelserna om

Gemensamt tillgängliga uppgifter Ds 2007:43

162

kriminalunderrättelseverksamhet och kriminalunderrättelseregister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen har vidare föreslagit att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter om det är nödvändigt för att underlätta övervakning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga. Utredningen har dock inte föreslagit att man ska skilja på gemensamt tillgängliga uppgifter och andra uppgifter.

Remissinstanserna: Rikspolisstyrelsen har uttalat att det bör vara tillräckligt att fängelse ingår i straffskalan för den misstänkta brottsliga verksamheten för att behandling ska få ske. Riksdagens ombudsmän har ifrågasatt om nyttan med en bestämmelse som möjliggör registrering av uppgifter om övervakade personer väger över intresset av att skydda den enskilde mot integritetsintrång. Justitiekanslern har ansett att utformningen av bestämmelsen bör övervägas närmare och att en närmare precisering krävs av när en registrering får ske. Riksåklagaren har ansett att den tillåtna behandlingen bör begränsas till att avse personer som har dömts för allvarliga brott riktade mot en persons liv, hälsa eller frihet.

Skälen för promemorians förslag

Uppgifter som har samband med brottslig verksamhet

Som vi tidigare har berört medför behandling av gemensamt tillgängliga uppgifter särskilda risker för den enskildes personliga integritet. Det är därför naturligt att begränsa möjligheterna till sådan behandling till de fall där behovet av att göra informationen gemensamt tillgänglig är mera påtagligt.

Ds 2007:43 Gemensamt tillgängliga uppgifter

163

En första fråga är om den brottsliga verksamhet som underrättelsearbetet avser måste vara av allvarligare slag för att personuppgifter ska få göras gemensamt tillgängliga. Utredningen har i denna del föreslagit att det ska vara fråga om brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Det motsvarar vad som i dag gäller för behandling av uppgifter i kriminalunderrättelseregister. I lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppställs ett liknande krav. Enligt den lagen får uppgifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer eller brott som sker systematiskt har utövats eller kan komma att utövas. Rikspolisstyrelsen har ansett att en sådan bestämmelse skulle medföra alltför stora begränsningar i förhållande till polisens behov av att kunna behandla uppgifter. Styrelsen har i stället förordat att personuppgiftsbehandling ska vara tillåten om det finns fängelse i straffskalan för det brott som innefattas i den misstänkta brottsliga verksamheten.

En förändring av det slag som Rikspolisstyrelsen har förordat innebär att det kommer att utföras kvalificerad personuppgiftsbehandling inom ramen för underrättelseverksamhet i betydligt större utsträckning än vad som nu är fallet. Detta kan framstå som betänkligt från integritetsskyddssynpunkt. Redan det förhållandet att uppgifter om brottslig verksamhet normalt har mindre konkretion än uppgifter om konkreta brott talar också för att polisen bör ges mindre utrymme för behandling av personuppgifter i underrättelseverksamhet än för behandling i t.ex. förundersökningar. Behovet av att behandla personuppgifter i underrättelseverksamhet framstår också som mindre, ju lägre straffvärde den brottsliga verksamhet som underrättelseverksamheten avser har. Det innebär emellertid inte att den nuvarande avgränsningen för när sådan behandling är tillåten – brottslig verksamhet som innefattar brott med minst två års fängelse i straffskalan – är den lämpligaste. Den nuvarande avgränsningen måste ses mot bakgrund av att underrättelseverksamhet var ett ganska nytt arbetssätt när polisdatalagen tillkom

Gemensamt tillgängliga uppgifter Ds 2007:43

164

och att det då var naturligt att sätta upp förhållandevis snäva gränser för den behandling av personuppgifter som tilläts. Med tiden har den nuvarande avgränsningen visat sig vara en hämmande faktor i polisarbetet. Vi bedömer därför att det är nödvändigt att utveckla polisens underrättelseverksamhet genom att ge större utrymme än tidigare för behandling av uppgifter i underrättelseverksamhet.

I linje med Rikspolisstyrelsens förslag skulle man i och för sig kunna tänka sig att – vad gäller verksamhet som avser att förebygga, förhindra och upptäcka brottslig verksamhet – tillåta att personuppgifter görs gemensamt tillgängliga så snart den brottsliga verksamheten innefattar brott för vilket fängelse ingår i straffskalan. En sådan reglering skulle dock enligt vår mening föra alltför långt, eftersom många brott med fängelse i straffskalan normalt endast leder till bötesstraff.

Ett annat alternativ är att liksom hittills anknyta till straffskalan för de brott som den misstänkta verksamheten antas innefatta, men dra gränsen vid ett i stället för två års fängelse. Det innebär bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en annan straffskala än brottsbalksbrott, samtidigt som det är fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Ett exempel på det är s.k. inkassoverksamhet som bedrivs utan tillstånd. Det är en brottstyp som förekommer allt oftare och som förknippas med organiserad brottslighet, främst s.k. mc-kriminalitet. Brotten består i att driva in pengar under förtäckta hot. Även i de fall där brotten rubriceras som olaga hot är straffmaximum ett års fängelse. En annan brottstyp där det också kan vara angeläget att kunna samla och på annat sätt behandla underrättelseinformation för att kunna förebygga brott är överträdelse av besöksförbud. Även bland brottsbalksbrotten finns det sådana som bör kunna angripas genom en effektiv underrättelseverksamhet, men som med dagens gränsdragning faller utanför möjligheterna till behandling av personuppgifter, t.ex. skadegörelse i

Ds 2007:43 Gemensamt tillgängliga uppgifter

165

form av klotter. Denna brottstyp begås av ett fåtal personer men vållar stor skada för samhället. För att kunna lagföra klottrare krävs det normalt att de ertappas på bar gärning, vilket många gånger förutsätter ett noggrant underrättelsearbete. Andra brottsbalksbrott som i vissa fall kan kräva ett effektivt underrättelsearbete är skyddande av brottsling och främjande av flykt. Detta gäller särskilt i de fall där det finns misstanke om kommande fritagning av allvarligt brottsbelastade personer.

Mot denna bakgrund föreslår vi att det i verksamhet för att förebygga, förhindra och upptäcka brott ska vara möjligt att göra uppgifter gemensamt tillgängliga så snart den brottsliga verksamheten innefattar brott med minst ett års fängelse i straffskalan.

Det förekommer även brottslighet där det enskilda brottet inte i sig är av sådan art att det kan leda till fängelse i ett år, men där verksamheten kan misstänkas ske systematiskt. Det kan exempelvis vara fråga om ligor som har satt i system att begå snatterier. Andra exempel står att finna inom den ekonomiska brottsligheten, där bl.a. osant intygande utgör ett betydande problem och där brottsligheten ofta bedrivs systematiskt och kan kräva kartläggning. Ett tredje exempel är barnpornografibrott som är ringa. Enligt vår mening talar intresset av en effektiv brottsbekämpning för att polisen bör kunna göra även uppgifter med anknytning till sådan systematisk brottslighet gemensamt tillgängliga. En motsvarande ordning gäller för övrigt i dag för Tullverket. Vi föreslår att detta får komma till uttryck i den nya lagen.

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Men även uppgifter om den som inte kan misstänkas måste enligt vår mening kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat polisen om den misstänkta brottsliga verksamheten, uppgifter om en juridisk person som äger ett garage eller annan lokal där den

Gemensamt tillgängliga uppgifter Ds 2007:43

166

misstänkt brottsliga verksamheten bedrivs och uppgifter om anhöriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att detta slag av uppgifter ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet. Vi föreslår därför att uppgifter som kan antas ha samband med den misstänkta brottsliga verksamheten får behandlas.

Vårt förslag innebär att det i vissa fall kommer att vara möjligt att göra uppgifter om personer som inte själva är misstänkta för vare sig ett konkret brott eller viss brottslig verksamhet gemensamt tillgängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. bestämmelser som förhindrar att uppgifterna ges omotiverad spridning. Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad brottslig verksamhet. Dessutom uppställs den begränsningen att endast de som arbetar med ärendet ska få ha direkt tillgång till uppgifterna. Sådana begränsningar framstår dock som mindre ändamålsenliga för polisens del. De skulle i alltför hög grad begränsa polisens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är således inte ovanligt att samma personer är inblandade i flera brottsliga aktiviteter som pågår i olika delar av landet vid en och samma tidpunkt. Om endast de som arbetar med det ärende, där en viss uppgift har kommit fram, ges tillgång till uppgiften, kommer det normalt inte att vara möjligt att upptäcka sambanden med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en person som förekommer som ”kringperson” i flera utredningar om likartad brottslig verksamhet. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör således kunna behandlas gemensamt inom polisen även utanför ett visst ärende.

Ds 2007:43 Gemensamt tillgängliga uppgifter

167

De särskilda risker för intrång i den personliga integriteten som detta skulle kunna innebära bör kunna motverkas genom bl.a. begränsningar i möjligheterna att genom sökning få fram särskilda slag av uppgifter. Till den frågan återkommer vi i avsnitt 11.2. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare slag av brottslig verksamhet som behandlingen sker (se avsnitt 10). Av stor betydelse i detta sammanhang är också den allmänna bestämmelse som vi föreslagit i avsnitt 6.7 om att endast personer som behöver uppgifterna för sitt arbete får ges tillgång till dem.

Uppgifter som behövs för övervakningen av vissa personer

I anslutning till bestämmelserna om behandling av uppgifter avseende brottslig verksamhet har utredningen föreslagit särskilda bestämmelser som klargör att polisen i vissa fall har rätt att behandla uppgifter för övervakning av personer. Det handlar då om övervakning av personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Även Registerutredningen föreslog sådana bestämmelser (SOU 1997:65 s. 230 ff.). Enligt det förslaget skulle kriminalunderrättelseregister få innehålla uppgifter om dömda personer som antingen var allvarligt kriminellt belastade eller som kunde antas vara farliga för annans personliga säkerhet. Personuppgifterna skulle gallras senast när samtliga uppgifter om personen hade gallrats ur belastningsregistret. Den dåvarande regeringen ansåg dock inte att några sådana bestämmelser borde införas (prop. 1997/98:97 s. 113 f). Som skäl angavs att det var svårt att se något behov av ett sådant register, varvid det bl.a. hänvisades till registreringen i belastningsregistret. Regeringen menade också att det skulle vara svårt att fastställa vilka kriterier som skulle gälla för att en person skulle anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet.

Gemensamt tillgängliga uppgifter Ds 2007:43

168

Vi anser liksom utredningen att det är befogat att, under vissa förutsättningar, genom behandling av personuppgifter utöva särskild kontroll över personer som är allvarligt kriminellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. Sådan övervakning kan utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, förhindra eller upptäcka brottslig verksamhet. De uppgifter som finns i misstanke- och belastningsregistren ger inte all den information som kan krävas för att övervakningen ska vara effektiv. Det förekommer i dag att övervakning av detta slag sker inom ramen för särskilda undersökningar. Med hjälp av ett särskilt analysverktyg kan informationen analyseras och kopplingar mellan exempelvis olika grupperingar, händelser och brottsliga verksamheter upptäckas. Denna form av uppgiftssamling har i något fall benämnts Y-databas, där bokstaven Y står för yrkeskriminell. Datainspektionen har nyligen i ett tillsynsärende inspekterat behandlingen av personuppgifter i en sådan databas vid Polismyndigheten i Skåne. Efter att inledningsvis ha ifrågasatt om Y-databasen omfattades av polisdatalagens bestämmelser om särskilda undersökningar, har inspektionen slutligen kommit fram till att så var fallet. Inspektionen har dock framfört vissa synpunkter på gallringen av uppgifterna (Datainspektionens beslut 25 maj 2007, dnr 686-2006).

I många fall torde personuppgiftsbehandling av detta slag rymmas inom de bestämmelser om behandling vid misstanke om brottslig verksamhet som vi har föreslagit ovan. De uppgifter som behöver göras gemensamt tillgängliga kommer således med stor sannolikhet att ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt. Det kan dock förekomma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka skäl talar för att behandling bör kunna ske.

Frågan är då om den nya lagen bör ge polisen möjlighet att skapa gemensamma uppgiftssamlingar avseende personer som uppfattas som särskilt brottsbenägna men mot vilka det inte finns några konkreta misstankar om brottslig verksamhet. Vi

Ds 2007:43 Gemensamt tillgängliga uppgifter

169

anser att den frågan bör besvaras jakande. Detta slag av uppgiftssamlingar är av mycket stor betydelse för att polisen ska kunna bedriva ett effektivt brottsbekämpande arbete. Utan en sådan möjlighet skulle det vara svårt för polisen att bemästra den brottslighet som förekommer i kriminella nätverk såsom mcbrottsligheten. Från integritetssynpunkt är i och för sig personuppgiftsbehandling av detta slag ägnad att inge särskilda betänkligheter. Detta intrång måste dock ställas mot den kränkning som det innebär för människor att bli utsatta för brott av allvarligt slag.

För att det integritetsintrång som personuppgiftsbehandlingen kan ge upphov till inte ska bli oproportionerligt bör möjligheten till personuppgiftsbehandling för övervakning inskränkas till att avse uppgifter om och kring de personer som uppfattas som särskilt brottsaktiva eller farliga. Mot denna bakgrund föreslår vi att det i lagen tas in bestämmelser av innebörd att uppgifter får göras gemensamt tillgängliga om det behövs för övervakningen av personer som är allvarligt kriminellt belastade eller kan antas vara farliga för annans personliga säkerhet. Som förutsättning bör gälla att personen kan antas komma att begå brott av mera allvarligt slag; att han eller hon tidigare är dömd för sådana brott bör alltså inte vara tillräckligt. Med brott av mera allvarligt slag avser vi brott som kan ge fängelse i två år eller mera.

Lika lite som utredningen eller Registerutredningen anser vi att det är ändamålsenligt att i lagtexten närmare precisera uttrycken ”allvarlig kriminell belastning” och ”farlig för annans säkerhet”. Innebörden i dessa begrepp kommer att beröras närmare i författningskommentaren.

För att en bestämmelse av detta slag ska bli meningsfull bör polisens möjlighet att göra uppgifter gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de övervakade personerna utan även uppgifter om personer som har samband med de övervakade personerna. Uppgifter måste exempelvis kunna behandlas om att en övervakad person är anställd hos en viss annan person och att den övervakade personen regelbundet

Gemensamt tillgängliga uppgifter Ds 2007:43

170

besöker vissa personer. Men, som nyss har nämnts, en förutsättning för behandlingen bör vara att uppgiften behövs för övervakningen.

Åtkomsten till de behandlade uppgifterna bör liksom i dag vara starkt begränsad. Endast de tjänstemän som har till uppgift att arbeta med övervakningen bör kunna medges åtkomst. Information om huruvida en viss person är föremål för övervakning bör dock kunna spridas till flera. Att personuppgifter som behandlas för detta ändamål bör vara märkta på visst sätt återkommer vi till i avsnitt 10.

9.3 Utreda och beivra brott

Promemorians förslag: Personuppgifter som förekommer i ärenden om utredning och beivrande av brott ska alltid få göras gemensamt tillgängliga. Detta ska dock inte gälla uppgifter om resultat av DNA-analyser.

Utredningens förslag: Utredningen har inte föreslagit att man ska skilja på uppgifter som är gemensamt tillgängliga och andra uppgifter.

Remissinstanserna har inte yttrat sig i frågan. Skälen för promemorians förslag: Det är självklart att uppgifter som behandlas för att utreda och beivra brott måste kunna göras gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgängliga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersökningar (se avsnitt 12.3.5). Enligt vår uppfattning finns det inte anledning att ställa upp något krav på att det ska vara fråga om utredning av allvarligare brott för att sådan behandling ska vara tillåten. Flertalet förundersökningar, oavsett misstänkt brott, är redan i dag lagrade i digital form i ett särskilt system (DurTvå; se bilaga 6).

Ds 2007:43 Gemensamt tillgängliga uppgifter

171

Av lagen bör det således framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga. Det bör dock göras ett undantag från denna huvudregel, nämligen när det gäller resultatet av DNA-analyser. Vi återkommer till den frågan.

I lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs som huvudregel att endast de personer som arbetar med ett ärende får ha direkt tillgång till uppgifterna som behandlas i ärendet. En följd av detta är att möjligheten att utnyttja uppgifter som behandlas inom ramen för en utredning i en annan utredning eller i underrättelseverksamhet försvåras. Vi anser inte att det är rimligt att ställa upp någon motsvarande begränsning för polisen. I en brottsutredning kan det vara av den största betydelse att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att polisen kan bedöma om det finns några samband mellan utredningarna. Uppgifter i en förundersökning måste således kunna göras gemensamt tillgängliga för andra än de som arbetar i förundersökningen. Redan i dag är uppgifter av detta slag i viss utsträckning gemensamt tillgängliga. Åtkomsten till uppgifterna i Datoriserad utredningsrutin (DurTvå) är sålunda inte begränsad till de personer som arbetar med en viss förundersökning. I dag registreras även samtliga brottsanmälningar i Rationell anmälningsrutin (RAR; se bilaga 6). Samtliga personuppgifter läggs in i systemet, låt vara att endast vissa uppgifter får göras sökbara. Från RAR och DurTvå hämtas uppgifter till andra register, t.ex. till det centrala brottsspaningsregistret som innehåller uppgifter om anmälda brott, tillvägagångssätt, signalement beträffande personer som setts på brottsplatsen m.m. Uppgifter från förundersökningar hämtas också till andra register. Att uppgifter i en brottsanmälan eller en förundersökning görs tillgängliga inom polisen för andra än de som arbetar i ärendet är alltså något som förekommer redan i dag i stor utsträckning och är en förutsättning för ett effektivt polisarbete. Det kan här noteras att det i de flesta fall endast är fråga om att göra vissa typer av uppgifter åt-

Gemensamt tillgängliga uppgifter Ds 2007:43

172

komliga för andra än de som arbetar i förundersökningen, inte hela förundersökningen.

Det förhållandet att det öppnas möjlighet att göra uppgifter om utredning av brott gemensamt tillgängliga innebär naturligtvis inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt överhuvudtaget inte göras åtkomliga för andra än de som arbetar med förundersökningen. I vilken utsträckning möjligheten bör utnyttjas bör dock överlämnas till polisen att avgöra i det enskilda fallet.

En särskild fråga i sammanhanget är om uppgifter om resultat av DNA-analyser ska kunna göras gemensamt tillgängliga. Med begreppet ”resultat av DNA-analyser” avser vi här DNA-profiler. Behandlingen av DNA-profiler sker i princip i två faser. Den ena är när DNA-profilen tas fram och eventuellt jämförs med andra DNA-profiler och DNA-spår och den andra är vid registreringen i DNA-register. Som vi tidigare framhållit (se avsnitt 8) anses uppgifter om DNA-profiler vara extra känsliga genom den information de innehåller. All behandling av DNA inom brottsmålsförfarandet kringgärdas därför av särskilda regler. Detta talar för att uppgifter om DNA-profiler inte bör kunna göras gemensamt tillgängliga. Vi kan inte heller se något direkt behov av att göra sådana uppgifter gemensamt tillgängliga. Ett förbud mot att göra uppgifter om DNA-profiler gemensamt tillgängliga innebär inte något hinder mot att annan information som erhållits med hjälp av DNA-profilen, t.ex. utlåtandet angående identiteten på den person som avsatt DNA-spåret, kan göras gemensamt tillgänglig.

I avsnitt 17.2 överväger vi särskilda bestämmelser om register med uppgifter om resultatet av DNA-analyser.

Ds 2007:43 Gemensamt tillgängliga uppgifter

173

9.4 Särskilt om behandlingen av uppgifter som rapporterats till polisens kommunikationscentraler

Promemorians förslag: Uppgifter som har rapporterats till polisens kommunikationscentraler ska få göras gemensamt tillgängliga i polisens brottbekämpande verksamhet.

Utredningens förslag: Utredningen har inte behandlat frågan.

Remissinstanserna har inte yttrat sig i frågan. Skälen för promemorians förslag: I varje län ska det finnas en kommunikationscentral med uppgift att effektivisera och samordna bl.a. alarmeringsåtgärder. Kommunikationscentralerna tar emot och vidarebefordrar inkommande larm och andra meddelanden samt vidtar och samordnar inledningsvis polisåtgärder med anledning av larm. Som stöd för denna verksamhet finns det ett särskilt datasystem för kommunikationscentralerna, det s.k. KC-systemet (se bilaga 6). Till kommunikationscentralerna rapporterar poliser in även händelser, iakttagelser och utförda uppdrag. KC-systemet syftar till att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunikationscentralerna. Syftet är också att på ett tidigt stadium kunna få signaler om pågående och återkommande brottslig verksamhet. Vidare har behandlingen till ändamål att ge underlag för planering av polisens resurser och för uppföljning av verksamheten. Systemet stöder inte endast polisens brottsbekämpande verksamhet utan även annan polisiär verksamhet. Uppgifterna som antecknas i systemet får endast vara tillgängliga i tretton månader.

När kommunikationscentralen tar emot larm och meddelanden, antecknas det som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, t.ex. om en polispatrull skickas till platsen där ett brott påstås ha begåtts. När polispatrullen har varit på platsen, rapporterar den till kommuni-

Gemensamt tillgängliga uppgifter Ds 2007:43

174

kationscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Det finns i dag inte några begränsningar i fråga om vilka uppgifter som får antecknas i systemet. Uppgifter registreras således om brotts- eller händelseplatser med besked om tid, plats, händelsetyp, brottskod och övrig information som kan vara till hjälp vid en kommande insats. Systemet innehåller också personuppgifter. Enkelt uttryckt kan man säga att det fungerar som en inledande postcentral där alla inrapporterade uppgifter antecknas för att senare sorteras och vidarebefordras till polisens olika verksamhetsgrenar. Uppgifter om misstänkta brott vidarebefordras till polisens utredningsrotlar, medan uppgifter om misstänkt brottslig verksamhet förs över till polisens underrättelserotlar. Systemet används normalt inte i den brottsbekämpande verksamheten för att söka efter information. Det förekommer emellertid att sökningar sker inom i systemet för att få fram uppgifter till en pågående brottsutredning, t.ex. om vad som har rapporterats in till polisen under en viss kortare tidsperiod eller på en viss plats. Det är dock endast ett begränsat antal tjänstemän som har behörighet att söka i systemet.

Vi anser att polisen även fortsättningsvis bör få dokumentera händelser och iakttagelser som har rapporterats till polisens kommunikationscentraler. För att en sådan dokumentation ska tillgodose polisens informationsbehov är det också nödvändigt att uppgifterna kan göras gemensamt tillgängliga. Som framgått av redogörelsen ovan kan emellertid det som rapporteras in till systemet innehålla vilka personuppgifter som helst. Meddelandena kan således mycket väl innehålla uppgifter som överhuvudtaget inte får behandlas eller göras gemensamt tillgängliga enligt de bestämmelser som vi nyss har föreslagit. Det kan t.ex. röra sig om uppgifter om personer som enbart misstänks för brottslig verksamhet som inte innefattar brott för vilket är föreskrivet ett års fängelse eller mer. Att i detta sammanhang göra skillnad på den eller andra typen av uppgifter framstår dock som praktiskt ogörligt. Den personal som tar emot och dokumente-

Ds 2007:43 Gemensamt tillgängliga uppgifter

175

rar uppgifterna har inte någon möjlighet att pröva hur uppgifterna får behandlas.

Vi föreslår därför att det i den nya lagen tas in en särskild bestämmelse som ger ett generellt stöd för den behandling av personuppgifter som sker vid polisens kommunikationscentraler. Uppgifterna bör få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

I avsnitt 10 överväger vi om uppgifter som behandlas för nu aktuellt ändamål ska förses med en särskild upplysning om ändamålet med behandlingen. I avsnitt 16.2 överväger vi vilka särskilda gallringsbestämmelser som bör gälla för uppgifterna.

9.5 Gemensamt tillgängliga uppgifter i det internationella samarbetet

Promemorians förslag: Uppgifter i det internationella samarbetet får göras gemensamt tillgängliga om det behövs för att fullgöra den aktuella förpliktelsen.

Utredningens förslag: Utredningen har inte behandlat frågan.

Remissinstanserna har inte yttrat sig i frågan. Skälen för promemorians förslag: En särskild fråga är hur man ska se på begreppet gemensamt tillgängliga uppgifter när det gäller internationellt samarbete. Enligt vår mening bör man i princip kunna utgå från samma kriterier i det arbetet som vid personuppgiftsbehandling för nationella behov.

En viktig del av det dagliga internationella samarbetet via Interpol består i utbyte av information om stulna pass, stulna fordon, stulen konst och efterlysta personer. Interpol för olika register över sådana uppgifter och medlemsstaterna utbyter fortlöpande sådan information med varandra. Syftet med s.k. internationell efterlysning av personer eller föremål är att man genom det förfarandet försvårar för brottslingarna. Man vidgar möjlig-

Gemensamt tillgängliga uppgifter Ds 2007:43

176

heterna att påträffa personer som försöker hålla sig undan rättvisan. Likaså förbättrar man förutsättningarna för att kunna återställa stulen egendom eller att åtminstone förhindra att obehörig vinst görs på att värdefulla stulna föremål avyttras i andra länder.

När en svensk myndighet sänder en internationell efterlysning till Interpol sker detta som ett led i den svenska brottsbekämpningen. Uppgifterna har då gjorts gemensamt tillgängliga med stöd av de regler som vi tidigare har redogjort för. När en svensk myndighet tar emot uppgifter från andra länder om internationella efterlysningar beror det på att den andra staten vill ha bistånd med upplysningar om var det efterlysta föremålet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen om denne påträffas i Sverige. Upplysningarna om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i princip all polispersonal. Detta görs genom att uppgifterna tillförs de nationella registren över efterlysningar. För att vi ska kunna fullgöra våra internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt tillgängliga är förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i allmänt informationsutbyte kan behöva behandlas gemensamt för att den svenska polisen ska kunna bidra med sina kunskaper.

Ett viktigt skäl till att uppgifter måste kunna göras gemensamt tillgängliga inom ramen för det internationella samarbetet är att Sverige i flera internationella överenskommelser har åtagit sig att inom polisen ha en kontaktpunkt som myndigheter i andra länder kan nå dygnet runt, året om (vad som brukar kallas 24/7-kontakt). En sådan kontaktpunkt ska bl.a. kunna besvara förfrågningar, förmedla kontakter inom polisorganisationen (och eventuellt till andra myndigheter som åklagare) samt bistå andra länder i brådskande angelägenheter av annat slag. Den in-

Ds 2007:43 Gemensamt tillgängliga uppgifter

177

ternationella enheten på Rikspolisstyrelsen utgör en sådan kontaktpunkt. Detta får till följd att tjänstemän vid enheten måste kunna ha tillgång till personuppgifter i alla de internationella ärenden som förekommer vid enheten.

Den nya lagen bör alltså göra det möjligt att göra uppgifter som har mottagits inom ramen för internationellt samarbete gemensamt tillgängliga, om det behövs för att fullgöra det internationella åtagandet. Vi föreslår att det tas in en uttrycklig bestämmelse om detta i den nya lagen.

179

10 Särskilda upplysningar för gemensamt tillgängliga uppgifter

Promemorians förslag: Personuppgifter som görs eller har gjorts gemensamt tillgängliga ska förses med en särskild upplysning om det närmare ändamålet med behandlingen. De ska vidare förses med en särskild upplysning om att personen som uppgiften avser inte är misstänkt, om de direkt kan hänföras till en person som inte är misstänkt vare sig för visst brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet. Upplysning behöver dock inte lämnas om sådana förhållanden som ändå framgår tydligt av omständigheterna.

Uppgifter, som avser en person som kan antas ha samband med misstänkt brottslig verksamhet, ska som regel förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Detsamma gäller för personuppgifter som behandlas inom ramen för övervakning av brottsmisstänkta personer.

Utredningens förslag: Utredningen har föreslagit att uppgifter om personer som det inte finns någon misstanke om brott mot ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Remissinstanserna har inte haft några invändningar mot utredningens förslag.

Särskilda upplysningar för gemensamt tillgängliga uppgifter Ds 2007:43

180

Skälen för promemorians förslag

Upplysning om ändamålet med behandlingen

Vårt förslag innebär att uppgifter av olika slag kan göras gemensamt tillgängliga utan att de för den skull behöver ingå i ett särskilt register av vilket de närmare skälen för behandlingen av personuppgifterna framgår. Det är dock viktigt att man alltid kan utläsa för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas. Detta har betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. Vidare har det betydelse för att tillsynsmyndigheterna ska kunna kontrollera om viss behandling är berättigad och sker i enlighet med lagens bestämmelser.

En särskild bestämmelse bör därför tas in i den nya lagen med innebörd att det alltid ska framgå för vilket ändamål en personuppgift behandlas. Om en personuppgift behandlas inom ramen för den ovan föreslagna bestämmelsen om övervakning av vissa personer, bör detta framgå särskilt. Detsamma gäller om en uppgift behandlas med stöd av bestämmelsen om rapportering till polisens kommunikationscentraler.

Upplysning om att personen inte är misstänkt för brott eller brottslig verksamhet

Av stor betydelse för skyddet av den personliga integriteten är att polisen behandlar uppgifter på ett sådant sätt att det klart framgår om en person behandlas som misstänkt för brott eller brottslig verksamhet eller om behandlingen sker av någon annan anledning. Vi föreslår därför att det i lagen slås fast att uppgifter om personer som inte är misstänkta vare sig för ett konkret brott eller för att ha utövat eller komma att utöva brottslig verksamhet ska förses med en upplysning om detta förhållande. Vissa

Ds 2007:43 Särskilda upplysningar för gemensamt tillgängliga uppgifter

181

sådana bestämmelser finns redan i polisdatalagen (se 14 och 19 §§).

Behovet av en sådan upplysning är dock mindre påtagligt när det gäller uppgifter som ännu inte har gjorts gemensamt tillgängliga, t.ex. uppgifter som bara förekommer i en enskild tjänstemans dator eller i en liten, klart avgränsad projektgrupp. De handläggande tjänstemännen vet då varifrån uppgiften har kommit, varför den behandlas och om en omnämnd person är misstänkt för brott eller brottslig verksamhet eller inte. Upplysningsskyldigheten bör därför gälla endast i fråga om uppgifter som görs eller har gjorts gemensamt tillgängliga.

Ibland kan det redan av det sammanhang där en personuppgift förekommer framgå att personen inte är misstänkt. I en förundersökning som gäller misshandel kan det t.ex. framgå att A berörs av förundersökningen endast i egenskap av målsägande. En viss uppgiftssamling kan också ha sådan natur att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta för brott eller brottslig verksamhet. Som exempel kan nämnas ett sådant diarium över inkomna eller upprättade handlingar som myndigheter enligt 15 kap. sekretesslagen (1980:100) ska föra. I ett sådant diarium ska bl.a. registreras vem en handling har inkommit från eller expedierats till. I fråga om sådana uppgifter har en särskild upplysning om att den aktuella personen inte är misstänkt inget värde. Vi föreslår därför att upplysning inte ska behöva lämnas om det redan av omständigheterna klart framgår att personen inte är misstänkt.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation om användningen av personuppgifter inom polissektorn (se avsnitt 4.2.3) anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas

Särskilda upplysningar för gemensamt tillgängliga uppgifter Ds 2007:43

182

från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta antaganden. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet finns en bestämmelse om att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Vid tillkomsten av polisdatalagen övervägdes om en motsvarande bestämmelse borde tas in i den lagen. Den dåvarande regeringen lämnade dock inte något förslag om detta. Regeringen hänvisade till att den då föreslagna uppdelningen på belastningsregister, misstankeregister och kriminalunderrättelseregister innebar att bekräftade och konkreta uppgifter kom att skiljas från uppgifter som grundades på skälig misstanke respektive på kriminalunderrättelseverksamhet. Att därutöver i lag ta in bestämmelser om att behandlade uppgifter även skulle förses med upplysning om uppgiftslämnarens trovärdighet ansågs inte befogat.

I vårt förslag ingår det inte några särskilda bestämmelser om personuppgiftsbehandling i kriminalunderrättelseverksamhet eller om kriminalunderrättelseregister. Tvärtom kommer det att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande trovärdighet. Mot den bakgrunden finns det fog för att i den nya lagen uppställa ett krav på tilläggsupplysningar motsvarande det som uppställs i 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I den nya lagen bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Bestämmelsen bör dock enligt vår mening inte vara generell. För det första är behovet av en upplysning av detta slag ganska litet så länge den behandlade uppgiften inte har gjorts

Ds 2007:43 Särskilda upplysningar för gemensamt tillgängliga uppgifter

183

gemensamt tillgänglig (se ovan). Vi föreslår därför att bestämmelsen inte ska gälla i fråga om uppgifter som ännu inte är – eller genom behandlingen blir – gemensamt tillgängliga.

För det andra – när det gäller personuppgiftsbehandling som sker inom ramen för en brottsutredning – framgår det som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla den, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av utredningen torde därför vara liten. Vi föreslår därför att personuppgiftsbehandling inom ramen för en brottsutredning inte ska omfattas av den nya bestämmelsen.

För det tredje bör det finnas ett utrymme för att inte lämna någon tilläggsupplysning i sådana fall där upplysningen framstår som helt överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen. Vi föreslår därför att upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak inte behöver lämnas när detta på grund av särskilda omständigheter skulle sakna betydelse.

185

11 Sökbegränsningar för gemensamt tillgängliga uppgifter

11.1 Känsliga personuppgifter som sökbegrepp

Promemorians förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga uppgifter. Det ska dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningens förslag: Utredningen har inte lämnat några förslag i denna del.

Remissinstanserna har inte berört frågan närmare. Skälen för promemorians förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. I avsnitt 8 har vi därför föreslagit att sådana uppgifter som huvudregel inte ska få behandlas. Men vi har också föreslagit att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga uppgifter om det är absolut nödvändigt för syftet med behandlingen. Det innebär att det också i polisens olika uppgiftssamlingar kommer att finnas känsliga personuppgifter.

Sökbegränsningar för gemensamt tillgängliga uppgifter Ds 2007:43

186

Från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifterna kan sökas fram och sammanställas. Ju större möjligheter det finns att genom olika slag av sökningar och sammanställningar kartlägga enskildas privata förhållanden, desto större integritetsintrång kan personuppgiftsbehandlingen innebära. Sökningar på personuppgifter av de nyss nämnda slagen, dvs. ”känsliga personuppgifter”, är ägnade att inge särskilda betänkligheter. Mot den bakgrunden har det i 20 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, m.m. tagits in ett förbud mot att använda sådana känsliga uppgifter som sökbegrepp (prop. 2004/05:164 s. 89 f.).

Det kan i och för sig förekomma situationer då en möjlighet att göra sökningar på känsliga uppgifter skulle vara av värde för det brottsbekämpande arbetet, t.ex. vid en utredning om ett sexualbrott. I det alldeles övervägande antalet fall måste emellertid de möjligheter som polisen kommer att ha att söka i belastnings- och misstankeregistren på motsvarande brott antas vara tillräckliga. Vi anser därför att integritetsintresset i denna del måste väga över och att det i den nya lagen bör tas in en bestämmelse motsvarande den som finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I polisens brottsbekämpande verksamhet har signalementsuppgifter stor betydelse. Vid exempelvis eftersökning av misstänkta gärningsmän behöver polisen kunna använda sig av uppgifter om t.ex. kroppsbyggnad, ansiktsform, hår- eller hudfärg, klädsel och fysiska kännetecken såsom födelsemärken och tatueringar. Förbudet mot att använda känsliga personuppgifter som sökbegrepp bör därför inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp. Detta – som överensstämmer med vad som gäller enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – bör komma till uttryck i den nya lagen.

Ds 2007:43 Sökbegränsningar för gemensamt tillgängliga uppgifter

187

11.2 Sökning på namn, firma, personnummer, samordningsnummer eller organisationsnummer

Promemorians förslag: Vid sökning i gemensamt tillgängliga uppgifter på namn, firma, personnummer, samordningsnummer, organisationsnummer eller andra liknande identitetsbeteckningar, får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott eller är misstänkt för brott eller för brottslig verksamhet,

2. övervakas på grund av allvarlig kriminell belastning eller befarad farlighet för annans personliga säkerhet,

3. har anmält ett brott eller är målsägande i ett ärende som rör ansvar för brott,

4. är vittne eller annars ska höras eller avge yttrande i ett ärende,

5. har gett in eller tillsänts en handling, eller

6. är anmäld försvunnen. Dessa begränsningar ska dock inte gälla vid sökning som sker i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet eller vissa preciserade kriminella grupperingar och som enbart de som arbetar i undersökningen eller vissa särskilt angivna tjänstemän har åtkomst till.

Begränsningarna ska inte heller gälla vid sökning som sker för att förebygga, förhindra eller upptäcka särskilt allvarlig brottslig verksamhet eller för övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade eller kan antas vara farliga för annans personliga säkerhet, om sökningen utförs av särskilt angivna tjänstemän som har till uppgift att utreda den brottsliga verksamheten respektive sköta övervakningen.

Sökbegränsningar för gemensamt tillgängliga uppgifter Ds 2007:43

188

Om det finns särskilda skäl, ska sökning utan begränsning även få ske för att utreda särskilt allvarliga brott, under förutsättning att sökningen utförs av särskilt angivna tjänstemän.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om och under vilka förutsättningar sökning får ske.

Utredningens förslag: Utredningen har inte lämnat några förslag i denna fråga.

Remissinstanserna har inte närmare berört frågan. Skälen för promemorians förslag: Namn, firma, personnummer och organisationsnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till särskilda risker från integritetssynpunkt. En sökning på exempelvis ett personnummer ger, i vart fall om den sker i den samlade informationsmängd som polisen har tillgång till, möjlighet till ingående kartläggningar av en persons privata förhållanden. Från ett integritetsperspektiv är därför sådana sökningar ägnade att inge stora betänkligheter.

Samtidigt är det uppenbart att möjligheten att göra detta slag av sökningar kan vara av stor betydelse i samband med kriminalunderrättelse- och brottsutredningsverksamhet. Det bör vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida de personer som figurerar i det ärendet också är eller har varit misstänkta i andra ärenden. Det ökar möjligheterna att förhindra, upptäcka och beivra brott väsentligt. Vi anser därför att den nya lagen måste ge utrymme för sökningar på namn, personnummer eller liknande identitetsuppgifter.

Ds 2007:43 Sökbegränsningar för gemensamt tillgängliga uppgifter

189

En helt obegränsad möjlighet att använda detta slag av uppgifter som sökbegrepp bör emellertid inte komma i fråga. Vi har därför övervägt om det i den nya lagen bör tas in en bestämmelse motsvarande 21 § lagen (2005:787)om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Enligt den bestämmelsen får namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller för viss verksamhet. Vi är dock inte övertygade om att en sådan bestämmelse är ändamålsenlig på polisens område. Å ena sidan tillåter en sådan bestämmelse att det vid sökningen tas fram information som är uppenbart betydelselös i sammanhanget (exempelvis att en för misshandel misstänkt person vid ett tidigare tillfälle har varit målsägande i en bedrägeriutredning). Å andra sidan tillåter bestämmelsen inte att det görs sådana sökningar som kan vara nödvändiga inom ramen för ett kriminalunderrättelseprojekt eller en brottsutredning. I ett sådant ärende kan det vara av stor vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som i det aktuella utredningsläget inte är misstänkta – förekommer som misstänkta i utredningar som gäller liknande brott. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet. Likaså kan uppgifter om att samma person gång på gång uppträder som vittne i vissa sammanhang påverka personens tillförlitlighet och trovärdighet.

Vi föreslår därför att möjligheten att söka på namn, personnummer och liknande identitetsuppgifter inte begränsas till misstänkta. Men vid sökningar på sådana uppgifter bör enbart vissa slag av uppgifter om den person som sökningen avser kunna tas fram. Först och främst bör det vara möjligt att få fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för allvarlig brottslig verksamhet. Med allvarlig brottslig verksamhet avser vi här detsamma som i avsnitt 9.2, dvs. verksamhet som innefattar brott för vilket kan följa fängelse i ett år eller däröver. Vidare bör det vara möjligt att få

Sökbegränsningar för gemensamt tillgängliga uppgifter Ds 2007:43

190

fram uppgift om huruvida en person övervakas på grund av allvarlig kriminell belastning eller befarad farlighet för annans personliga säkerhet. En annan uppgift som bör vara möjlig att få fram är om personen har anmält ett brott eller att han eller hon är målsägande eller vittne i en brottsutredning. Detsamma gäller om någon är anmäld försvunnen. Det bör också vara möjligt att få fram uppgift om en handling har lämnats in av eller expedierats till personen i fråga.

Det som nu har sagts avser endast begränsningar av den initiala sökningen. En generell sökning av de uppgifter som behandlas hos polisen avseende en viss person ska alltså, enligt vårt förslag, endast ge uppgifter om huruvida vederbörande tillhör någon eller några av de kategorier som nyss angetts. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska dock ytterligare uppgifter kunna tas fram genom en fortsatt sökning i den uppgiftsmängden. Möjligheten att få åtkomst till ytterligare uppgifter, kanske hela förundersökningen, avgörs dock av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av lagens ändamål.

De integritetsrisker som motiverar den nu föreslagna inskränkningen i möjligheten att söka fritt gör sig dock inte gällande när det är fråga om sökningar i ett begränsat material. Den bör därför inte gälla vid sökning som sker inom ramen för ett visst ärende eller en viss handling.

För vissa delar av den brottsbekämpande verksamheten kan en begränsningsregel av den nu föreslagna arten leda till stora problem. Det gäller en del sådant arbete som i dag sker inom ramen för en särskild undersökning enligt 14 § polisdatalagen och som avser vissa preciserade slag av brottslighet (t.ex. narkotikabrottslighet i viss region) eller vissa preciserade kriminella grupperingar (t.ex. ett visst kriminellt mc-gäng). I sådant arbete upprättas ofta särskilda uppgiftssamlingar som syftar till att kartlägga brottsligheten eller de kriminella grupperingarna. Endast de tjänstemän som deltar i undersökningen har tillgång till dessa uppgiftssamlingar. Enligt vår mening bör det vara möjligt för de

Ds 2007:43 Sökbegränsningar för gemensamt tillgängliga uppgifter

191

deltagande tjänstemännen att göra sökningar i en sådan uppgiftssamling utan någon sådan begränsning som vi ovan har föreslagit. Vi föreslår därför att begränsningsregeln inte ska gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet eller vissa preciserade kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till (med det undantag som följer av nästa stycke).

När det gäller underrättelseverksamhet som avser särskilt allvarlig brottslighet t.ex. grova narkotikabrott, terroristbrott och människohandel, finns det ett motsvarande behov av att kunna göra sökningar utan de begränsningar som har föreslagits ovan. Vi anser därför att sökbegränsningarna inte ska gälla vid sökning som sker för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver. Vid övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade eller kan antas vara farliga för annans personliga säkerhet finns ett likartat behov. I sådana fall är det viktigt för polisen att ha kännedom om var personen brukar befinna sig, vilka kontakter han eller hon har, vilka transportmedel personen förfogar över etc., för att polisen ska kunna ingripa i tid mot nya brott. De angivna begränsningarna bör därför inte gälla i dessa fall, under förutsättning att sökningen utförs av särskilt angivna tjänstemän som har till uppgift att hantera det aktuella ärendet. Sådana tjänstemän bör även få utföra sökningar i uppgiftssamlingar i undersökningar av viss preciserad brottslighet eller vissa preciserade kriminella grupperingar. Det bör meddelas föreskrifter om att myndigheten ska dokumentera vilka tjänstemän som har beviljats denna utökade möjlighet att söka efter uppgifter.

Ibland kan det också finnas behov av att göra mera omfattande sökningar inom ramen för en förundersökning. Som exempel kan nämnas utredningar om ouppklarade allvarliga seriebrott, t.ex. upprepade våldtäkter eller mordbränder. Detsamma kan gälla vissa mordutredningar. Förundersökningar om sådana brott kan pågå under mycket lång tid, om gärningsmannen är okänd.

Sökbegränsningar för gemensamt tillgängliga uppgifter Ds 2007:43

192

Om det är fråga om mycket allvarliga brott, där samhällets intresse av att gärningsmannen lagförs är stort, är det enligt vår mening försvarligt att tillåta generella sökningar, om dessa kan bidra till att polisen kan spåra gärningsmannen och det är fråga om brott för vilket är föreskrivet fängelse i fyra år eller däröver. I likhet med vad som föreslagits i fråga om sökningar i underrättelseverksamheten eller vid övervakning av vissa personer bör emellertid sådana sökningar enbart få utföras av på förhand utpekade personer med särskilda arbetsuppgifter.

Det är viktigt att de sökbegränsningar som vi har föreslagit tillämpas korrekt och att tillsynsmyndigheterna kan kontrollera att så varit fallet. Regeringen bör meddela föreskrifter om att det vid myndigheten ska framgå av en förteckning eller motsvarande vilka tjänstemän som har tilldelats behörighet att utföra sådana särskilda sökningar.

193

12 Informationsutbyte mellan de brottsbekämpande myndigheterna

12.1 Allmänt om behovet av ett effektivt informationsutbyte mellan svenska brottsbekämpande myndigheter

Promemorians bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Utredningen har inte behandlat frågan särskilt. Remissinstanserna: Flera remissinstanser, bl.a. Riksåklagaren, Riksskatteverket, Tullverket och Kustbevakningen, har påtalat behovet av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna. Av remissvaren framgår att de brottsbekämpande myndigheterna anser sig ha ett påtagligt behov av att i ökad utsträckning få direktåtkomst till varandras uppgifter.

Skälen för promemorians bedömning: Samarbetet mellan de brottsbekämpande myndigheterna har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslighet förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns inte bara inom olika delar av polisorganisationen utan också hos andra brottsbekämpande myndigheter. Uppdelningen av den brottsbekämpande verksam-

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

194

heten på flera fristående myndigheter har emellertid i stor utsträckning kommit att styra möjligheterna till informationsutbyte, eftersom det kan råda sekretess mellan myndigheterna. Det är allmänt omvittnat att detta har lett till nackdelar när det gäller effektiviteten i brottsbekämpningen. Behovet av informationsutbyte mellan de brottsbekämpande myndigheterna är särskilt stort när det gäller att kartlägga och begränsa organiserad brottslighet, men det finns även behov av sådant samarbete för att angripa brottslighet av mera vardagligt slag. Av samma skäl som det är viktigt att man inom polisen på ett effektivare sätt än i dag kan tillgodogöra sig den information som finns inom den egna organisationen, är det viktigt att nyttiggöra informationen i samarbetet med andra brottsbekämpande organ.

Möjligheten till informationsutbyte mellan olika myndigheter är således av central betydelse i det brottsbekämpande arbetet. Ett förbättrat informationsutbyte skapar bättre förutsättningar för att utnyttja de samlade resurserna effektivt och därmed också för att brott i större utsträckning och snabbare kan klaras upp.

Mot de fördelar som ett ökat informationsutbyte innebär ska ställas att ett ökat flöde av uppgifter mellan myndigheter kan skapa risker för ökat intrång i den personliga integriteten, särskilt som de uppgifter som polisen behandlar ofta är av känsligt slag. Ett väl fungerande informationsutbyte mellan brottsbekämpande myndigheter behöver emellertid inte vara till nackdel för de personer som berörs av en brottsutredning. Tvärtom kan brottsoffren och den eller de misstänkta ibland ha ett gemensamt intresse av att brott klaras upp snabbt och att lagföring kommer till stånd i de fall där bevisningen är tillräcklig samt att felaktiga eller otillräckligt underbyggda brottsmisstankar avförs så snabbt som möjligt. I detta sammanhang är det också viktigt att påminna om det självklara att polisens arbete ytterst syftar till att skydda enskilda från att utsättas för den kränkning som ett brott utgör.

Risken för ökade intrång i den personliga integriteten genom informationsutbyte mellan myndigheter måste också ses i ljuset av att de andra brottsbekämpande myndigheterna redan i dag i

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

195

stor utsträckning har tillgång till de uppgifter hos polisen som kan anses vara några av de allra mest känsliga, nämligen uppgifter ur misstankeregistret. Vidare måste man väga in att det numera i princip råder samma sekretess för uppgifter om brottsbekämpning hos alla berörda myndigheter. Även om det således kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna väger fördelarna över.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom de flesta av de uppgifter som behandlas inom polisens brottsbekämpande verksamhet skyddas av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I sekretesslagen finns ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter.

Med stöd av hänvisningar i sekretesslagen finns det dessutom en möjlighet att meddela sekretessbrytande föreskrifter i andra lagar och förordningar, se 14 kap. 1 § sekretesslagen. I polisdatalagen och polisdataförordningen finns bestämmelser om utlämnande av uppgifter som har en sekretessbrytande effekt. Det måste övervägas om sådana bestämmelser bör införas även i den nya lagen. Behovet av sekretessbrytande bestämmelser behandlas i avsnitt 13.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myndigheter, bl.a. inom ramen för det arbete som bedrivs av Rådet för rättsväsendets informationsförsörjning (där Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Kriminalvården, Brottsförebyggande rådet, Brottsoffermyndigheten, Tullverket och Skatteverket ingår). Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna, se bl.a. SOU 2002:113, 2005:117 och 2006:18. Den gemensamma uppfattningen hos

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

196

dessa utredningar har varit att en brottsbekämpande myndighet ska kunna lämna information till en annan sådan myndighet, om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet.

Informationsutbytet sker i dag framförallt på manuell väg, efter en begäran från en myndighet i ett enskilt fall eller genom spontant uppgiftslämnande. Det kan röra sig både om utlämnande av uppgifter i pappersform och om olika former av elektroniskt utlämnande, t.ex. via e-post. I viss utsträckning förekommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst), men det gäller för närvarande bara vissa register.

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Elektronisk åtkomst till uppgifter utan föregående begäran är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs.

Mot denna bakgrund står det klart att det finns ett ökande behov av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna och att detta måste kunna tillgodoses genom ökad användning av elektronisk kommunikation.

En fråga som måste övervägas särskilt är i vilken form uppgifterna ska få lämnas ut, t.ex. om utlämnande bör få ske genom direktåtkomst. Den frågan behandlas i avsnitt 12.3. Utlämnande på medium för automatiserad behandling – både till svenska och utländska mottagare – behandlas i avsnitt 14.

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

197

12.2 Allmänt om behovet av informationsutbyte i det internationella samarbetet

Promemorians bedömning: Det internationella utbytet av information spelar en viktig roll för bekämpningen av framför allt allvarlig och gränsöverskridande brottslighet. Det arbetet bör kunna bedrivas i huvudsak på samma sätt som hittills.

Utredningen har gjort samma bedömning. Remissinstanserna har inte haft någon invändning eller inte kommenterat saken närmare.

Skälen för promemorians bedömning: Av samma skäl som ett ökat informationsutbyte mellan svenska brottsbekämpande myndigheter bidrar till ett effektivare polisarbete gör internationellt samarbete i brottsbekämpande syfte det. Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslighet som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle exempelvis bekämpningen av grov narkotikasmuggling, människohandel, penningtvätt och många andra typer av allvarliga brott inte kunna bedrivas lika framgångsrikt. Dessutom har Sverige, som framgått tidigare, genom olika internationella överenskommelser åtagit sig att överlämna information som härrör från brottsbekämpande verksamhet dels till polismyndigheter i andra länder, dels till Interpol och Europol.

Under senare år har det polisiära samarbetet mellan länderna inom EU utvecklats snabbt. I Europeiska rådets rekommendation om utarbetande av avtal mellan polis, tull och andra specialiserade brottsbekämpande organ, som antogs i april 2006 (6856/1/06 REV 1 ENFOCUSTOM 27 ENFOPOL 35 CRI-MORG 40 CORDROGUE 15) betonar rådet vikten av ett förbättrat samarbete och informationsutbyte mellan de nationella brottsbekämpande myndigheterna. Hinder mot informationsutbyte på nationell nivå riskerar naturligtvis att påverka även det internationella informationsutbytet negativt. Det kan anmärkas

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

198

att Sverige har ådragit sig kritik avseende informationsutbyte såväl nationellt som internationellt vid utvärdering av Europols verksamhet (se SOU 2005:117 s. 153).

Nyligen antogs rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Som tidigare nämnts pågår förhandlingar om flera rambeslut m.m. som påverkar det framtida informationsutbytet (se avsnitt 4.4). Ett av dessa är rambeslutet om dataskydd inom tredje pelaren, vars syfte är att förbättra integritetsskyddet. Ett likvärdigt integritetsskydd för uppgifter som översänds mellan medlemsstaterna kommer att underlätta det framtida informationsutbytet.

Det finns också anledning att erinra om att det polisiära samarbete över gränserna i stor utsträckning sker som led i svenskt underrättelsearbete eller svensk förundersökning eller lagföring. Sammantaget talar mycket för att polisen kommer att ha ett fortsatt stort behov av att kunna utbyta uppgifter med andra länder. En ny lag om behandling av uppgifter i polisens brottsbekämpande verksamhet bör inte ställa upp onödiga hinder för ett sådant utbyte utan möjligheterna att utbyta uppgifter bör i huvudsak motsvara vad som gäller i dag. I avsnitt 12.3.6 övervägs om utländska myndigheter även bör kunna medges direktåtkomst till svenska register. En sådan möjlighet skulle innebära en utvidgning i förhållande till vad som gäller i dag. I avsnitt 13.3 övervägs vilka sekretessbrytande bestämmelser om utlämnande som lagen bör innehålla. I det sammanhanget berörs det internationella informationsutbytet närmare.

12.3 Elektroniskt informationsutbyte

12.3.1 Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om utlämnande av personuppgifter i elektronisk form

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

199

genom särskilda bestämmelser i lag eller förordning. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elektronisk form endera på s.k. medium för automatiserad behandling eller genom direktåtkomst.

Ett utlämnande på medium för automatiserad behandling kan innebära t.ex. att elektronisk information överförs via e-post, genom utlämnande av uppgifter på diskett, cd-rom, DVD, USBminne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. I sådana fall tar den utlämnande myndigheten i varje enskilt fall ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren.

Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Denna fråga kommer därför att beröras mer ingående i det följande. Utlämnande på medium för automatiserad behandling tas upp i avsnitt 14.

12.3.2 Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den enskilde tar del av i varje enskilt fall. I stället måste en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av ge-

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

200

nom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Eftersom begreppet direktåtkomst avser ett tillvägagångssätt för utlämnande av uppgifter i elektronisk form, är det vid reglering av direktåtkomst typiskt sett inte nödvändigt att reglera den åtkomst som en myndighet har till sina egna register och databaser. Myndighetens egen tillgång till information i databasen innefattar normalt behörighet att såsom personuppgiftsansvarig påverka innehållet i databasen, dvs. behörighet att vidta åtgärder som sträcker sig längre än att medge direktåtkomst. I fråga om den åtkomst som personalen vid en myndighet har till myndighetens egna register och databaser är det därför lämpligare att tala om direkt tillgång till registren och databaserna i stället för direktåtkomst (se prop. 2004/05:164 s. 73). Finns det flera självständiga verksamhetsgrenar inom en och samma myndighet, mellan vilka det råder sekretess (jfr 1 kap. 3 § första och andra styckena sekretesslagen), behövs dock normalt – när direktåtkomsten är författningsreglerad – även bestämmelser om direktåtkomst för den eller de verksamhetsgrenar som inte ansvarar för själva databasen för att sådan åtkomst ska kunna medges. Detta beror på att uppgifterna i sådana fall anses utlämnade från en verksamhetsgren till en annan.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen har en rätt att medge sådan åtkomst. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. I några författningar tydliggörs detta genom bestämmelser som anger att myndigheten i fråga inte får medge andra direktåtkomst till sina

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

201

register innan den har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt (se t.ex. 4 kap. 4 § förordningen [2001:650] om vägtrafikregister). Medgivandet av direktåtkomst förutsätter också att utlämnande får ske enligt den gällande sekretessregleringen för berörda myndigheter, vilket utvecklas närmare i avsnitt 13.

12.3.3 Nuvarande möjligheter till direktåtkomst

Polisens direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter

Polisens möjlighet att ta del av uppgifter som behandlas hos andra brottsbekämpande myndigheter styrs genom de författningar som gäller för dessa myndigheter.

Beträffande uppgifter som behandlas av Tullverket föreskrivs i 6 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheterna, Kustbevakningen och Skatteverket får ha direktåtkomst till sådana uppgifter i tullbrottsdatabasen som behandlas för ändamålen att förhindra och upptäcka brottslig verksamhet. Enligt 7 § får Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen och polismyndigheterna ha direktåtkomst till sådana uppgifter som behandlas för ändamålen att utreda och beivra visst brott, om uppgifterna förekommer i en förundersökning som leds av åklagare.

Enligt 18 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får övriga brottsbekämpande myndigheter ha direktåtkomst till uppgifter hos Kustbevakningen. Tullverkets åtkomst omfattar dock inte uppgifter om vattenföroreningsavgift. Skatteverkets åtkomst är begränsad till de brott som Skatteverket får utreda och Åklagarväsendets åtkomst är begränsad till uppgifter om utredning av brott, om utredningen leds av åklagare. I betänkandet Kustbevakningens per-

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

202

sonuppgiftsbehandling (SOU 2006:18) uttalade Utredningen om Kustbevakningens personuppgiftsbehandling att det framstår som uppenbart att övriga brottsbekämpande myndigheter ska kunna medges direktåtkomst till uppgifter hos Kustbevakningen. Utredningen föreslog därför att sådan åtkomst ska beviljas till uppgifter som Kustbevakningen behandlar för att förhindra och upptäcka brottslig verksamhet och för att utreda och beivra brott. Betänkandet bereds för närvarande inom Regeringskansliet (Försvarsdepartementet).

Andra myndigheters direktåtkomst till uppgifter som polisen behandlar

De övriga brottsbekämpande myndigheterna har redan i dag i varierande utsträckning direktåtkomst till uppgifter som polisen behandlar i vissa register, framför allt misstankeregistret och belastningsregistret. I närmast följande avsnitt, där andra myndigheters behov av direktåtkomst till polisens uppgifter behandlas närmare, redovisas vad som gäller i dag i fråga om direktåtkomst till polisens register.

12.3.4 De brottsbekämpande myndigheternas behov av tillgång till uppgifter i polisens brottsbekämpande verksamhet

Promemorians bedömning: Samtliga brottsbekämpande myndigheter har behov av att kunna få direktåtkomst till uppgifter som behandlas av polisen.

Utredningens förslag: Utredningen har inte närmare behandlat frågan om övriga brottsbekämpande myndigheters allmänna behov av direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet. Däremot har utred-

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

203

ningen lagt förslag om att andra myndigheter ska ha direktåtkomst till vissa utpekade register.

Remissinstanserna: Flera remissinstanser, bl.a. Riksåklagaren, Riksskatteverket, Tullverket och Kustbevakningen, har påtalat att de har behov av att kunna ta del av uppgifter som behandlas i polisens brottsbekämpande verksamhet genom direktåtkomst.

Skälen för promemorians bedömning

Vittgående möjligheter till direktåtkomst ökar riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst att känsliga uppgifter blir tillgängliga för en större krets personer och att den personuppgiftsansvariga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Det är visserligen möjligt att genom särskilda åtgärder motverka dessa risker. Likväl är det viktigt att myndigheternas behov av direktåtkomst övervägs noga och att behoven vägs mot integritetsriskerna.

Polismyndigheters behov av direktåtkomst till varandras uppgifter

Det är angeläget att den brottsbekämpande verksamheten kan bedrivas effektivt. Med utnyttjande av modern teknik ökar möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan utnyttjas. En tjänsteman vid en polismyndighet som arbetar med en utredning eller något annat projekt som avser en misstänkt person eller en viss företeelse bör på ett enkelt sätt kunna skaffa sig kunskap om existerande anmälningar och om huruvida det bedrivs brottsutredningar eller underrättelseprojekt riktade mot samma person eller samma företeelse inom någon annan del av myndigheten eller i en annan del av landet. Likaså måste den lokala polisorganisationen lätt kunna tillgodogöra sig den kunskap

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

204

och erfarenhet som specialenheter eller den centrala polisorganisationen besitter när det gäller exempelvis bekämpning av vissa brottstyper eller utvecklingen av den internationella brottsligheten.

Polisanställda som arbetar i den brottsbekämpande verksamheten vid Rikspolisstyrelsen, polismyndigheter och Ekobrottsmyndigheten har således ofta ett legitimt behov av att kunna få tillgång till uppgifter som har gjorts gemensamt tillgängliga inom polisen. Deras behov av att få tillgång till uppgifter som behandlas inom andra delar av polisorganisationen avser ofta inte enbart uppgifter i vissa register. Behovet kan i princip avse alla typer av uppgifter som förekommer i polisens brottsbekämpande verksamhet. Ett så omfattande behov kan, med hänsyn till den arbetsinsats som krävs för att hantera uppgifterna, bara tillgodoses genom direktåtkomst.

Eftersom Rikspolisstyrelsen, de enskilda polismyndigheterna och Ekobrottsmyndigheten utgör sinsemellan självständiga myndigheter behövs en reglering av direktåtkomsten även inom polisen.

Säkerhetspolisens behov av direktåtkomst till uppgifter hos polisen

Som utvecklas närmare i avsnitt 18 skiljer sig Säkerhetspolisens verksamhet från den övriga polisverksamheten i olika avseenden. Säkerhetspolisen tillhör organisatoriskt Rikspolisstyrelsen, men har en självständig ställning. En av Säkerhetspolisens uppgifter är att inom Rikspolisstyrelsen leda och bedriva viss polisverksamhet, nämligen brottsbekämpande verksamhet rörande brott mot rikets säkerhet, terrorismbekämpning, bevaknings- och säkerhetsarbete som rör statsledningen och statsbesök samt personskydd i vissa andra fall. När Säkerhetspolisen för Rikspolisstyrelsens räkning leder och bedriver sådan polisverksamhet har Säkerhetspolisen ställning som polismyndighet (se 7 § andra stycket polislagen [1984:387] jämförd med 2 § förordningen [2002:1050] med instruktion för Säkerhetspolisen).

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

205

I sin egenskap av polismyndighet, där bl.a. brottsutredning ingår, har Säkerhetspolisen samma behov som andra polismyndigheter att få tillgång till exempelvis belastningsregistret och misstankeregistret och till andra uppgifter av betydelse för brottsutredning och för att förebygga och upptäcka brott och brottslig verksamhet.

Säkerhetspolisen har enligt sin instruktion också vissa andra uppgifter, där myndigheten inte leder och bedriver polisverksamhet i den mening som avses i 7 § polislagen (se 3 § förordningen med instruktion för Säkerhetspolisen). Till dessa uppgifter hör bl.a. att fullgöra de uppgifter som ankommer på Rikspolisstyrelsen enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). En viktig uppgift i det sammanhanget är registerkontroll. För att fullgöra den uppgiften behöver Säkerhetspolisen tillgång till information som behandlas inom den övriga polisen. I de fall där Säkerhetspolisen inte har ställning som polismyndighet ingår myndigheten som en del i Rikspolisstyrelsen.

Åklagarväsendets behov av direktåtkomst till uppgifter hos polisen

Åklagarväsendet (Åklagarmyndigheten och Ekobrottsmyndigheten) har för närvarande direktåtkomst till misstankeregistret och belastningsregistret samt till uppgift om en person förekommer i DNA-register. Åklagarväsendet kan vidare ges direktåtkomst till sådana uppgifter i tullbrottsdatabasen som förekommer i en brottsutredning som leds av åklagare. I den polisiära verksamheten hos Ekobrottsmyndigheten har man direktåtkomst bl.a. till det centrala kriminalunderrättelseregistret och det allmänna spaningsregistret.

När åklagaren leder en förundersökning eller annan utredning har han eller hon givetvis behov av att kunna ha direktåtkomst till materialet i förundersökningen. Detsamma gäller alla andra typer av utredningar som görs med stöd av 23 kap. rättegångsbalken. Behovet gör sig gällande i alla typer av förundersök-

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

206

ningar och andra liknande utredningar; åklagare har ju rätt att leda förundersökningar angående alla typer av brott som hör under allmänt åtal. Det enda undantaget kan sägas vara utredningar om tryckfrihetsbrott och yttrandefrihetsbrott, där endast Justitiekanslern är behörig åklagare. Denne brukar emellertid i stor utsträckning uppdra åt åklagare att utföra förundersökning, varför åklagarens behov av att få direktåtkomst till förundersökningsmaterial i praktiken är lika stort beträffande sådana brott. Eftersom åklagare med stöd av 23 kap. 3 § rättegångsbalken har en ovillkorlig rätt att ta över förundersökningsledningen i en förundersökning som har inletts av polisen, och polisen dessutom har en skyldighet att hålla åklagare underrättad om förundersökningens gång beträffande sådana förundersökningar som leds av polisen och som rör allvarlig eller svårbedömd brottslighet (2 § förundersökningskungörelsen [1947:948]), har åklagaren behov av direktåtkomst även till uppgifter i sådana förundersökningar. I princip har således åklagarväsendet samma behov som polisen att ha direktåtkomst till uppgifter i förundersökningar.

Åklagaren har också genom sitt uppdrag behov av kunna få tillgång till allmänna uppgifter om polisens brottsbekämpande och brottsutredande verksamhet. Det kan exempelvis vara fråga om information, som rör en viss brottstyp eller en viss arbetsmetod, eller statistik eller liknande. Behovet ska ses mot bakgrund av åklagarens roll i förhållande till polisen, som i princip utgör den enda resursen för att åklagaren ska kunna fullgöra en av sina huvuduppgifter, att utreda brott. Åklagarens särställning återspeglas dels i 3 § polislagen (1984:387), dels i 2 kap. 9 § och 3 kap. 14 §polisförordningen (1998:1558).

När det gäller underrättelseuppgifter kan åklagarens behov av direktåtkomst inte generellt sägas vara lika stort. Ett skäl till det är att det endast är ett begränsat antal åklagare som sysslar med utredning av särskilt allvarliga brott som utförs i mer eller mindre organiserade former, vilket är ett av underrättelseverksamhetens huvudområden. Å andra sidan har dessa åklagare stort behov av att kunna få tillgång till underrättelseinformation även

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

207

när det ännu inte finns några konkreta misstankar om brott. Det är nämligen för den enskilde en viktig rättssäkerhetsfråga att förundersökning inleds så snart det finns grund för det. Först då aktualiseras de rättssäkerhetsgarantier som är inbyggda i en förundersökning. Mot den bakgrunden får också åklagare anses ha legitimt behov av direktåtkomst till underrättelseuppgifter. Behovet torde framför allt avse uppgifter i det som i dag benämns särskild undersökning. Det kan även i enskilda fall finnas ett visst behov av att låta åklagare få tillgång till den behandling som i dag sker inom ramen för kriminalunderrättelseregister. Ett exempel kan vara Ekobrottsmyndigheten, där poliser och åklagare arbetar tillsammans på ett närmare sätt än inom verksamheten i övrigt. Inom ramen för en förundersökning om allvarliga brott, som exempelvis upprepade mordbränder eller serievåldtäkter, finns det, som tidigare nämnts, inte sällan behov av att bedriva registerkontroll, göra omfattande sökningar på tidigare brott och kontroll av personer som tidigare har dömts för liknande brott. Sådana undersökningar, som normalt görs inom ramen för underrättelseprojekt, kan således ibland vara nödvändiga inslag i en pågående förundersökning.

Tullverkets behov av direktåtkomst till uppgifter hos polisen

Tullverket har i dag direktåtkomst till misstankeregistret, belastningsregistret, Schengens informationssystem, analys- och beslagsregistret samt fingeravtrycks- och signalementsregistren. Vidare har enskilda tulltjänstemän fått behörighet att ta del av vissa uppgifter i det allmänna spaningsregistret, godsregistret och registret över efterlysta fordon.

På samma sätt som polisen har Tullverket till uppdrag att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda och beivra brott. I sin brottsbekämpande verksamhet utför tulltjänstemännen i allt väsentligt samma uppgifter som polismän i motsvarande verksamhet inom polisväsendet. Tullverket har därigenom samma behov av personuppgiftsbehandling och

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

208

tillgång till vissa typer av uppgifter som polisen när det gäller brottstyper inom tullens behörighetsområde.

Tullverket har emellertid ett snävare arbetsfält än polisen. Ansvarsområdet är dels brott mot lagen (2000:1225) om straff för smuggling och författningar som anges i den lagen (bl.a. vissa brott mot narkotikastrafflagen och brott mot vissa skatteförfattningar), dels brott som rör införsel eller utförsel enligt vissa skatteförfattningar, dels brott mot tullagstiftning. Något förenklat utreder Tullverket framför allt smugglingsbrott, gränsöverskridande narkotikabrott och ekonomisk brottslighet i form av tullbrott. Tullverkets brottsbekämpande verksamhet har således ett ganska brett spektrum, men fokus ligger på brott som begås när varor, personer och annat passerar landets gränser.

I de fall där Tullverket biträder en åklagare med utredningsåtgärder i en förundersökning kan en tjänsteman vid Tullverket ha samma behov av att kunna få tillgång till uppgifter som behandlas i polisens brottsbekämpande verksamhet som en polisman. Sådant biträde innebär ibland att polismän och tulltjänstemän arbetar tillsammans i samma utredning. I sådana fall är det angeläget att det finns en möjlighet för dem att på ett enkelt sätt utbyta information.

Tullverkets roll är sådan att den brottsutredande verksamheten ofta förutsätter samarbete med andra myndigheter såväl inom Sverige som över gränserna. När det gäller brott till sjöss och i kustnära områden sker ett nära samarbete med Kustbevakningen. Bekämpningen av allvarlig narkotikabrottslighet kräver ett mycket nära samarbete mellan Tullverket och polisen. Narkotikan tillverkas normalt utomlands och förs till Sverige. Vidare har organiserad narkotikabrottslighet i mycket stor utsträckning internationella förgreningar. Det kan ibland vara en slump om det är polisen eller Tullverket som först upptäcker spår av sådan brottslighet och inleder underrättelseverksamhet eller förundersökning. Det bör också nämnas att Tullverket genom sitt internationella samarbete samlar bred kunskap om bl.a. narkotikabrottsligheten och dess utveckling internationellt, vilket kan vara till stor nytta för polisen i dess brottsutredande verksamhet. Be-

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

209

hovet av informationsutbyte mellan dessa myndigheter är således mycket stort. I sammanhanget bör också nämnas att polisen har direktåtkomst till tullbrottsdatabasen, som är den databas där Tullverket behandlar uppgifter som rör brottsbekämpning.

Vid skilda tidpunkter har personal från bl.a. Tullverket och polisen samlokaliserats, i syfte att effektivisera informationsutbytet och att utveckla den gemensamma uppgiften att bekämpa allvarlig brottslighet. I flera fall har sådant samarbete, som i sig ansetts öka effektiviteten och ge andra positiva effekter, avbrutits därför att möjligheten att bevilja direktåtkomst till uppgifter i den andra myndighetens verksamhet har varit alltför begränsad. Detta visar att behovet av direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter kan vara en grundläggande förutsättning för att utveckla samarbetet myndigheterna emellan. Under senare år har regionala underrättelsecenter bildats där tjänstemän från flera brottsbekämpande myndigheter arbetar tillsammans i gemensamma ärenden. Det är önskvärt att man inom ramen för sådant samarbete har möjlighet att bygga upp uppgiftssamlingar som samtliga inblandade har direkt tillgång till.

En annan aspekt på samarbetet mellan polisen och Tullverket är att statsmakterna under senare år i allt större utsträckning har övervägt möjligheterna att låta tulltjänstemän och kustbevakningstjänstemän göra ingripanden som normalt ankommer på polismän på platser där polisen inte finns till hands men där Tullverket eller Kustbevakningen utövar sin kontrollverksamhet, t.ex. i hamnar och vid gränspassager. Ett aktuellt exempel gäller nykterhetskontroll och ingripanden mot personer som gör sig skyldiga till rattfylleri. En utredning har föreslagit att personal inom Tullverket och Kustbevakningen ska ges rätt att ingripa mot sådana brott och att utföra nykterhetskontroller utan någon misstanke om brott (se SOU 2006:47). En sådan ordning skulle påverka behovet av direktåtkomst till uppgifter hos polisen.

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

210

Kustbevakningens behov av direktåtkomst till uppgifter hos polisen

Kustbevakningen har i dag direktåtkomst till Schengens informationssystem. Däremot har Kustbevakningen ingen direktåtkomst till belastningsregistret, endast en rätt att i vissa fall få ut uppgifter ur registret. Kustbevakningen har i en särskild framställning begärt att få direktåtkomst till både detta register och misstankeregistret. Denna fråga behandlas i avsnitt 22.

Via Tullverkets system har Kustbevakningen tillgång till polisens godsregister och register för efterlysta fordon. Kustbevakningen har också direktåtkomst till tullbrottsdatabasen. Dessutom har Kustbevakningen rätt att få uppgifter ur det allmänna spaningsregistret, om uppgifterna kan antas ha särskild betydelse för en pågående utredning eller andra brottsbekämpande åtgärder.

Kustbevakningen har, i likhet med Tullverket och Skatteverket, brottsbekämpande uppgifter enbart beträffande vissa i författning angivna typer av brott. Kustbevakningens brottsbekämpande verksamhet anknyter till dess uppgift att svara för övervakningen till sjöss och i sjönära områden. Kustbevakningens brottsbekämpande verksamhet innehåller så vitt skilda uppgifter som att ingripa mot brott mot regler om skyddsobjekt och militära skyddsområden, miljöregler och regler om skydd mot dumpning och oljeskador, jakt- och fiskeregler, trafikregler och säkerhetsregler till sjöss, regler om fornminnen och sjöfynd, regler om skydd av hotade arter samt regler om utlänningars in- och utresa. För en närmare beskrivning av Kustbevakningens verksamhet, se avsnitt 24.2.

I likhet med Tullverket har Kustbevakningen i sin brottsbekämpande verksamhet i princip samma uppgifter som polisväsendet. En kustbevakningstjänsteman har i denna verksamhet samma arbetsuppgifter och i huvudsak samma befogenheter som en polisman. Kustbevakningen har således i grunden samma behov av att få tillgång till vissa typer av uppgifter som behandlas i polisens brottsbekämpande verksamhet som Tullverket har.

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

211

Kustbevakningen liknar Tullverket även i det avseendet att det ofta krävs nära samverkan mellan Kustbevakningen och polisen i det brottsbekämpande arbetet. Det finns dock en skillnad på grund av att Kustbevakningens rätt att inleda och bedriva förundersökning är mycket begränsad. I flertalet fall ska Kustbevakningen snabbt lämna över ärendet till polisen (eller annan myndighet) för fortsatt handläggning. Det förhållandet att myndigheten har ansvar för att omedelbart ingripa på platsen, samtidigt som det sällan finns möjlighet för polisen att ta över ansvaret förrän efter viss tid, gör dock att Kustbevakningens behov av att snabbt kunna kontrollera vissa uppgifter beträffande personer, varor eller fartyg generellt sett är mycket stort. Det kan ibland vara helt avgörande att ha tillgång till vissa uppgifter för att exempelvis kunna bedöma om en person ska tillåtas passera in i eller ut ur landet.

När Kustbevakningen biträder en åklagare med utredningsåtgärder i en förundersökning, har tjänstemannen vid Kustbevakningen ofta samma behov av att kunna får tillgång till uppgifter som behandlas i polisens brottsbekämpande verksamhet som en polisman eller en tulltjänsteman. Sådant biträde innebär ibland att polismän och kustbevakningstjänstemän arbetar tillsammans i samma utredning. I sådana fall är det angeläget att det finns möjlighet för dem att på ett enkelt sätt utbyta information.

I sammanhanget bör också nämnas att det sedan några år finns ett för Tullverket, polisväsendet och Kustbevakningen gemensamt maritimt underrättelsecentrum (MUC) i Karlskrona. Syftet med detta underrättelsecentrum är att effektivisera myndigheternas brottsbekämpning genom gemensam riskanalysbaserad kontrollverksamhet. Verksamheten är inriktad på att upptäcka och förhindra brott (för en närmare beskrivning av verksamheten, se SOU 2006:18 s. 51). Den är ett exempel på hur man kan utnyttja och stärka underrättelseverksamheten inom en myndighet och samtidigt förbättra förutsättningarna för en effektiv underrättelseverksamhet inom andra brottsbekämpande myndigheter. Det visar också att Kustbevakningen har behov av såväl att kunna utbyta information i enskilda ärenden eller be-

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

212

träffande enskilda frågor som att systematiskt kunna dra nytta av den underrättelseverksamhet som bedrivs inom andra brottsbekämpande myndigheter.

Skatteverkets behov av direktåtkomst till uppgifter hos polisen

Skatteverket har i dag rätt till direktåtkomst till misstankeregistret, belastningsregistret och tullbrottsdatabasen.

Skatteverkets brottsbekämpande verksamhet bedrivs i en särskild organisation, de s.k. skattebrottsenheterna. Deras verksamhet omfattar bara vissa i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar angivna typer av brott. Utöver brott enligt skattebrottslagen (1971:69), bokföringsbrott, brott mot näringsförbud och brott mot folkbokföringslagen (1991:481) rör det sig enbart om några få brottstyper.

Skatteverket får bedriva spaning och underrättelseverksamhet i fråga om brott som angetts ovan. Det ingår i Skatteverkets uppgifter att förebygga sådan brottslighet. Verket får även utreda sådana brott, om den misstänkte kan antas erkänna brottet och utredningen kan genomföras med stöd av det förenklade förfarande som anges i 23 kap. 22 § rättegångsbalken.

En åklagare kan anlita biträde av en skattebrottsenhet vid utredning av brott. Det gäller både sådana brott som Skatteverket ska bekämpa och andra typer av brott.

En skattebrottsutredare vid en skattebrottsenhet har dock snävare befogenheter än en polisman eller en tjänsteman vid Tullverket eller Kustbevakningen. Utredaren får t.ex. inte använda våld eller besluta om tvångsmedel. Han eller hon får dock verkställa beslut om beslag, om det kan ske utan våld, och även medverka aktivt vid husrannsakan.

När en skattebrottsenhet biträder åklagaren i en förundersökning, deltar ofta polismän eller tulltjänstemän i utredningsarbetet samtidigt. I sådana fall är det angeläget att det finns en möjlighet att på ett enkelt sätt utbyta information mellan utredningsmännen. Det är också viktigt att det finns goda möjligheter

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

213

till utbyte av underrättelseinformation mellan skattebrottsenheterna och dem som svarar för underrättelseverksamhet vid de andra brottsbekämpande myndigheterna.

Eftersom Skatteverkets personal inte ingriper mot pågående brott på samma sätt som tjänstemän från Tullverket och Kustbevakningen, får Skatteverkets behov av direktåtkomst till uppgifter inom polisen allmänt sett anses vara mindre än de andra myndigheternas. Ett behov av direktåtkomst kan likväl konstateras.

Direktåtkomst till DurTvå

Datoriserad utredningsrutin (DurTvå) är ett datasystem där förundersökningar lagras. En närmare beskrivning av systemet finns i bilaga 6. Varje polismyndighet har ett eget sådant system. De anställda vid polismyndigheten som har behov av uppgifter i systemet har tillgång till det. Åtkomsten är dock indelad i olika behörighetsnivåer. Det går även att medge direktåtkomst till anställda vid någon annan polismyndighet eller vid Rikspolisstyrelsen, om det finns behov av det. Det kan behövas t.ex. om anställda vid flera polismyndigheter arbetar tillsammans i samma förundersökning. Åklagare, som i sin egenskap av förundersökningsledare har mycket stort behov av tillgång till uppgifterna i sina förundersökningar, har ännu inte någon direktåtkomst till sådana uppgifter i DurTvå. Polisen arbetar emellertid med att ta fram en teknisk lösning som medger att sådan åtkomst kan beviljas. I de fall där tjänstemän från Tullverket, Kustbevakningen eller Skatteverket arbetar tillsammans med polismän i en förundersökning har tjänstemännen från de andra myndigheterna behov av att kunna få tillgång till sådana uppgifter som lagrats i DurTvå.

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

214

Direktåtkomst till DNA-register

Statens kriminaltekniska laboratorium, polismyndigheter och åklagare kan för närvarande medges direktåtkomst till register över resultatet av DNA-analyser. Åtkomsten för polismyndigheter och åklagare är dock begränsad till uppgifter om huruvida en person förekommer i något av registren eller inte.

Lagstiftningen om DNA-register har ganska nyligen ändrats (se prop. 2005/06:29). Det är i dag svårt att överblicka hur omfattande registren kommer att bli när den nya lagstiftningen har fått full effekt. Mot den bakgrunden bör man avvakta med att göra några omfattande förändringar i fråga om direktåtkomsten till DNA-register. De myndigheter som redan har direktåtkomst till DNA-register torde även fortsättningsvis ha samma behov av direktåtkomst som i dag. Däremot bör övriga brottsbekämpande myndigheters behov av uppgifter ur registret kunna tillgodoses utan att myndigheterna medges direktåtkomst.

Direktåtkomst till fingeravtrycksregistret samt signalements- och känneteckensregistret

Förutom Statens kriminaltekniska laboratorium har hittills bara de största polismyndigheterna getts direktåtkomst till fingeravtrycksregistret, trots att 5 § polisdataförordningen ger utrymme för att ge alla polismyndigheter sådan åtkomst. Detta beror på att endast de största polismyndigheterna anses ha utrustning för och kompetens att jämföra fingeravtryck med spår av fingeravtryck. Rikspolisstyrelsen förbereder emellertid en ändring av befintliga system så att det blir möjligt för alla polismyndigheter att sända fingeravtryck via dator till registret och i samband därmed även kontrollera om personen förekommer i registret. Redan nu har polismyndigheterna via befintliga datorsystem möjlighet att få svar på frågor om när ett fingeravtryck togs och vilken kvalitet det har. Sådana uppgifter behövs för att polisen ska kunna bedöma om nytt fingeravtryck ska tas.

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

215

För närvarande har alla polismyndigheter och Tullverket samt polismän vid Ekobrottsmyndigheten direktåtkomst till signalements- och känneteckensregistret.

De myndigheter som i framtiden kan behöva ha direktåtkomst till uppgifter i fingeravtrycks- eller signalementsregister är, förutom de myndigheter som redan i dag har sådan åtkomst, framför allt Kustbevakningen. Myndigheten har, i likhet med Tullverket och polismyndigheterna, behov av att kunna få tillgång till uppgifter dygnet runt och detta behov tillgodoses enklast genom möjlighet till direktåtkomst. Åklagarväsendet och Skatteverket har också visst behov av tillgång till uppgifter ur registren, även om det inte är lika påtagligt.

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

216

12.3.5 Direktåtkomst för övriga brottsbekämpande myndigheter

Promemorians förslag: Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket ska i den brottsbekämpande verksamheten kunna medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Till register med uppgifter om DNA-analyser ska endast Statens kriminaltekniska laboratorium, polismyndigheter, Ekobrottsmyndigheten och Åklagarmyndigheten kunna medges direktåtkomst.

Till fingeravtrycks- och signalementsregister ska polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket kunna medges direktåtkomst.

Säkerhetspolisen ska kunna medges direktåtkomst i samma utsträckning som gäller för Rikspolisstyrelsen i övrigt och för polismyndigheterna.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Promemorians bedömning: Det bör inte vara möjligt att medge direktåtkomst till uppgifter som behandlas hos Säkerhetspolisen eller till uppgifter i penningtvättsregister.

Utredningens förslag: Utredningen har föreslagit att polismyndigheter ska få ha direktåtkomst till det allmänna spaningsregistret och att Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter ska få ha direktåtkomst till register med DNA-analyser i brottmål. Vidare har utredningen föreslagit en allmän bestämmelse om att direktåtkomst till personuppgifter ska vara förbehållen de personer inom

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

217

polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.

Remissinstanserna: Flera myndigheter, bl.a. Riksåklagaren, Riksskatteverket, Tullverket och Kustbevakningen, har ansett att de bör kunna medges direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet.

Skälen för promemorians förslag och bedömning

Bör övriga brottsbekämpande myndigheter kunna medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet?

Vi har ovan kunnat konstatera att de brottsbekämpande myndigheterna ofta har ett påtagligt behov av att få direktåtkomst till den information som andra brottsbekämpande myndigheter behandlar. En möjlighet till direktåtkomst skapar bättre förutsättningar för ett framgångsrikt brottsbekämpande arbete. För en sådan möjlighet talar också kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att myndigheter avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av ett sådant utbyte kan konstateras redan på förhand. Utlämnande på annat sätt än genom direktåtkomst, exempelvis via fax eller epost, innebär också allmänt sett ett mindre säkert överförande av uppgifter, eftersom obehöriga då lättare kan få tillgång till dem.

Mot det nu sagda måste dock integritetsskyddsintresset vägas. Integritetsaspekterna måste tillmätas en central betydelse vid bedömningen av i vilken omfattning myndigheter bör kunna medges direktåtkomst till varandras register och databaser. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes förhållanden samlas in och bevaras uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtagligt torde

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

218

intrånget uppfattas av den enskilde. Direktåtkomst kan också minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör i sig skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter som polisen behandlar.

En viktig aspekt vid den avvägning som här måste göras är sekretesskyddet för uppgifterna hos den mottagande myndigheten. Om sekretesskyddet hos den mottagande myndigheten är lika långtgående som sekretesskyddet hos den utlämnande myndigheten, behöver ett utlämnande av uppgifterna genom direktåtkomst inte innebära någon ökning av integritetsriskerna i förhållande till allmänheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den mottagande myndigheten kan begränsas till en liten krets personer, innebär detta givetvis mindre integritetsrisker än om uppgifterna ges en vid spridning. En tredje betydelsefull aspekt är vilka bestämmelser om informationssäkerhet (exempelvis system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om det finns en hög informationssäkerhet hos den mottagande myndigheten, så att det kan garanteras att informationen når endast dem som har rätt till den, inger naturligtvis system för direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet.

Vad först gäller sekretessregleringen kan det konstateras att denna i princip ger samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas av således av bl.a. skyddet i 5 kap. 1 § och 9 kap. 17 §sekretesslagen (se avsnitt 13.2). De brottsbekämpande myndigheterna har även författningar som reglerar personuppgiftsbehandlingen på ett likartat sätt. Som nyss har nämnts pågår det inom EU förhandlingar om ett rambeslut med särskilda dataskyddsbestämmelser. När rambeslutet genomförs, kommer ett än mer likartat skydd att uppnås.

Vad sedan gäller tillgången till uppgifterna hos den mottagande myndigheterna vill vi erinra om den bestämmelse, som vi har

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

219

föreslagit i avsnitt 6.7, att en enskild tjänsteman ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. En möjlighet till direktåtkomst kommer alltså inte att innebära att annat än en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna. Givetvis bör, om en möjlighet till direktåtkomst skapas, det tekniska systemet för direktåtkomst utformas så att den enskilde tjänstemannens möjligheter till sådan åtkomst begränsas i motsvarande utsträckning.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst anser vi att regeringen eller den myndighet som regeringen bestämmer bör få meddela särskilda föreskrifter om detta. Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras uppgifter, bör den myndighet som beslutar om sådan åtkomst således vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, för tillsyn och för loggning av transaktioner. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa åtkomsten till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur åtkomsten har utnyttjats. Ett av syftena med den nya tekniska struktur för lagring av personuppgifter som planeras av polisen är att göra det lättare att begränsa åtkomsten på detta sätt.

De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom bestämmelser om sekretess, om tillgång till uppgifter och om informationssäkerhet. Övervägande skäl talar därför för att den nya lagen bör tillåta att övriga brottsbekämpande myndigheter ges direktåtkomst till de personuppgifter som behandlas i polisens brottsbekämpande verksamhet. De närmare förutsättningarna för sådan direktåtkomst diskuteras i det följande.

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

220

Direktåtkomst till uppgifter hos Säkerhetspolisen och till vissa särskilda register

Som tidigare har angetts bör vissa register undantas från den nya lagens tillämpningsområde, bl.a. belastningsregistret och misstankeregistret. De lagar som reglerar dessa register innehåller särskilda bestämmelser om direktåtkomst. Frågan om direktåtkomst till de registren bör därför inte regleras i den nya lagen.

Eftersom Säkerhetspolisen behandlar särskilt känsliga uppgifter, bör det överhuvudtaget inte vara möjligt att medge direktåtkomst till uppgifter som behandlas där. Endast Säkerhetspolisens egna tjänstemän bör kunna ges direkt tillgång till uppgifterna.

I bilaga 6 beskrivs Finanspolisens register, som i stor utsträckning innehåller underrättelseinformation. Denna underrättelseinformation är till sin natur sådan att det är viktigt att tillgången till den begränsas till ett fåtal personer. Det är fråga om känslig ekonomisk information, vilken i dag inte är åtkomlig för andra delar av polisorganisationen. Av samma skäl som direktåtkomst inte bör kunna ges till de uppgifter som Säkerhetspolisen behandlar, bör direktåtkomst inte heller kunna medges till uppgifter som behandlas med anledning av misstänkt penningtvätt eller misstänkt finansiering av särskilt allvarlig brottslighet.

När det gäller de register som innehåller resultatet av DNAanalyser (DNA-register, utredningsregister och spårregister) finns det knappast något behov av att kunna medge direktåtkomst till andra myndigheter än de som redan i dag har rätt till sådan åtkomst, dvs. polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten samt Statens kriminaltekniska laboratorium (se 11 § polisdataförordningen). För polismyndigheter och åklagarmyndigheter bör åtkomsten, på samma sätt som i dag, begränsas till uppgifter om huruvida en person förekommer i registret eller inte. Regeringen bör meddela föreskrifter om en sådan begränsning. Säkerhetspolisen bör, när den utför uppgifter

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

221

som polismyndighet, ha samma möjlighet att få tillgång till uppgifterna i fråga som andra polismyndigheter.

Uppgifterna i fingeravtrycks- och signalementsregister är inte lika känsliga som uppgifter om DNA. Behovet av att snabbt kunna få tillgång till sådana uppgifter, för att kunna avgöra en persons identitet, är dessutom större. Samtliga brottsbekämpande myndigheter, med undantag för åklagare, bör därför kunna medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

Hur bör direktåtkomsten till polisens uppgifter avgränsas?

En första förutsättning för att en myndighet ska kunna ges direktåtkomst till uppgifter hos en annan myndighet bör vara att uppgifterna är gemensamt tillgängliga hos den senare myndigheten. Därmed kommer de särskilda bestämmelser som gäller vid behandling av gemensamt tillgängliga uppgifter att få genomslag vid utnyttjandet av direktåtkomsten, t.ex. vad gäller särskilda upplysningar och sökbegränsningar.

Ytterligare en förutsättning för att direktåtkomst ska kunna medges bör vara att den myndighet som beslutar om sådan åtkomst försäkrar sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, tillsyn och för loggning av transaktioner.

En annan förutsättning bör vara att en enskild tjänsteman ska få ha direktåtkomst endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Frågor av detta slag regleras lämpligen i förordning eller myndighetsföreskrifter.

Det kan diskuteras om det inte bör införas ytterligare begränsningar i möjligheten till direktåtkomst.

Det skulle t.ex. vara möjligt att införa bestämmelser som innebär att direktåtkomst får medges endast till vissa särskilda register eller uppgiftssamlingar. Vi bedömer dock inte att detta

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

222

är någon framkomlig väg. Förslaget till ny reglering bygger ju på att man i möjligaste mån ska frångå registerbegreppet och göra regleringen teknikneutral. En annan sak är att om ett visst register särregleras, så bör också frågan om direktåtkomst till detta register kunna särregleras.

En annan i och för sig tänkbar begränsning är att tillåta direktåtkomst enbart till en viss brottstyp eller en viss typ av ärenden. Eftersom brottslingar inte sällan ägnar sig åt olika typer av brottslighet, t.ex. både förmögenhetsbrott och våldsbrott eller både ekonomisk brottslighet och narkotikasmuggling, är det dock inte lämpligt att i författning avgränsa åtkomsten på detta sätt. En tjänsteman vid Tullverket som handlägger ett underrättelseärende om misstänkt narkotikabrottslighet kan ha ett befogat intresse av att söka efter kopplingar till någon annan typ av brottslighet. Visserligen skulle några typer av brottslighet sannolikt kunna undantas, exempelvis sexualbrott som ytterst sällan kan ha intresse för andra brottsbekämpande myndigheter. En sådan avgränsning skulle dock lätt kunna bli slumpartad. Dessutom skulle man förmodligen bara kunna undanta ett fåtal brottstyper med en sådan avgränsning och den skulle därför inte innebära någon större vinst från integritetssynpunkt. Däremot är det givetvis inget som hindrar att den registeransvariga myndigheten, när den medger direktåtkomst, gör en mer detaljerad avgränsning, t.ex. genom att bevilja åtkomst bara till uppgifter om vissa typer av brott eller till uppgift om huruvida en person förekommer i en databas.

En annan möjlig begränsning skulle kunna ta sikte på det ändamål för vilket uppgifterna behandlas. En sådan avgränsning görs i 68 §§ förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Begränsningen innebär bl.a. att Åklagarmyndigheten inte kan medges direktåtkomst till uppgifter som behandlas för ändamålet förhindra eller upptäcka brottslig verksamhet. I sitt remissvar över Polisdatautredningens betänkande har Riksåklagaren betonat vikten av ett nära och effektivt samarbete mellan polis och åklagare vid bekämpning av internationell, gränsöverskridande och

Ds 2007:43 Informationsutbyte mellan de brottsbekämpande myndigheterna

223

organiserad brottslighet. Enligt Riksåklagaren måste åklagare därför ha möjlighet att ha direktåtkomst till personuppgifter som har betydelse för lagföringen av den allvarliga brottsligheten, alltså även uppgifter som behandlas för att förebygga, förhindra och upptäcka brottslig verksamhet. Vi anser att det finns fog för Riksåklagarens uppfattning och att den också är relevant vad gäller övriga brottsbekämpande myndigheter.

Sammantaget är det varken önskvärt eller möjligt att i den nya lagen uppställa andra begränsningar vad gäller de brottsbekämpande myndigheternas direktåtkomst än de behörighets- och behovsbegränsningar som vi har angett ovan. Vi återkommer i avsnitt 13 till frågan om sekretess hindrar direktåtkomst.

12.3.6 Direktåtkomst för utländska myndigheter

Promemorians förslag: Regeringen får meddela föreskrifter om att utländska myndigheter får medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet, om det är nödvändigt för att kunna fullgöra förpliktelser som följer av en internationell överenskommelse som har godkänts av riksdagen. Åtkomsten till uppgifter i DNA-register, utredningsregister och spårregister samt fingeravtrycks- och signalementsregister ska begränsas till uppgift om huruvida någon förekommer i registret eller inte.

Utredningen har inte behandlat frågan. Remissinstanserna har inte heller yttrat sig i saken. Skälen för promemorians förslag: Numera finns så gott som all polisiär informationen på medium för automatiserad behandling. Det aktualiserar frågan om elektronisk informationsöverföring till andra länder. Frågan har särskild betydelse i det allt viktigare internationella polissamarbetet. I juni 2007 nåddes en politisk överenskommelse inom EU om ett rambeslut, som bygger på det s.k. Prümfördraget. Beslutet innehåller bestämmelser

Informationsutbyte mellan de brottsbekämpande myndigheterna Ds 2007:43

224

om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism, gränsöverskridande brottslighet och olaglig migration. En av de frågor som tas upp är direktåtkomst till vissa uppgifter i nationella polisregister. Rambeslutet behandlas ovan i avsnitt 4.4.

Den nya lagen bör ge utrymme för regeringen att meddela föreskrifter om direktåtkomst till vissa uppgifter i polisens register, om det finns ett folkrättsligt bindande åtagande att medge sådan åtkomst. Av de skäl som utvecklas närmare i avsnitt 13.3 bör bemyndigandet enbart omfatta överenskommelser som riksdagen har godkänt.

I avsnitt 14 behandlas frågan om uppgifter ska kunna lämnas ut till en utländsk mottagare på medium för automatiserad behandling på annat sätt än genom direktåtkomst.

225

13 Sekretess och uppgiftsskyldighet m.m.

13.1 Allmänna utgångspunkter

Promemorians bedömning: Det krävs sekretessbrytande regler för att skapa förutsättningar för en myndighet att medge andra brottsbekämpande myndigheter direktåtkomst.

Utredningens förslag: Utredningen har föreslagit en sekretessbrytande regel som medger att uppgifter som behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet och uppgifter ur det allmänna spaningsregistret i vissa fall får lämnas ut till övriga brottsbekämpande myndigheter. Utredningen har i övrigt inte diskuterat frågan.

Remissinstanserna har inte haft någon invändning mot utredningens förslag. Flera remissinstanser, däribland Riksåklagaren, Riksskatteverket, Tullverket och Kustbevakningen, har dock ifrågasatt varför inte utredningen i större utsträckning har beaktat behovet av informationsutbyte mellan brottsbekämpande myndigheter.

Sekretess och uppgiftsskyldighet m.m. Ds 2007:43

226

Skälen för promemorians bedömning

Sekretess mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är, som redan har framgått, organisatoriskt uppdelat mellan flera myndigheter. Gemensamt för dessa myndigheter är att sekretess i större eller mindre utsträckning gäller för flertalet av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. När uppgifter ska lämnas mellan myndigheterna måste därför hänsyn tas till bl.a. sekretesslagstiftningen.

Det finns ett antal bestämmelser i sekretesslagen som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 1 kap. 5 § sekretesslagen (1980:100) framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger således inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Ytterligare sekretessbrytande bestämmelser finns i 14 kap. sekretesslagen. I 14 kap. 1 § föreskrivs bl.a. att sekretess inte hindrar ett utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 14 kap. 2 § när uppgifterna behövs i bl.a. förundersökningar. Enligt 14 kap. 3 § första stycket, den s.k. generalklausulen, gäller som huvudregel att uppgifter får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Av stor betydelse i sammanhanget är vidare bestämmelsen i 15 kap. 5 §, som innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte

Ds 2007:43 Sekretess och uppgiftsskyldighet m.m.

227

möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga.

Ytterligare en bestämmelse av betydelse i sammanhanget finns i 9 kap. 17 § sjätte stycket 3 sekretesslagen. Där föreskrivs att en uppgift, utan hinder av sekretessen i 9 kap. 17 §, får lämnas ut enligt vad som föreskrivs i bl.a. polisdatalagen och i förordningar som meddelats med stöd av den lagen. Bestämmelsen infördes i samband med att den absoluta sekretessen för polisregister avskaffades (se prop. 1997/98:97). Syftet med bestämmelsen var bl.a. att myndigheterna inte skulle behöva förlita sig på en sekretessprövning i de fall där det i författning anges att uppgifter får lämnas ut. I 68 §§polisdatalagen finns bestämmelser om att uppgifter får lämnas ut. Sådana bestämmelser finns även i polisdataförordningen, se bl.a. 8, 10, 17, 17 a och 18 §§.

Frågan om informationsutbyte och sekretess har behandlats bl.a. vid översyn av de registerförfattningar som gäller för andra brottsbekämpande myndigheter. Det senaste ställningstagandet gällde personuppgiftsbehandlingen i Tullverkets brottsbekämpning. I prop. 2004/05:164 (s. 84–88) analyserades vilken sekretess som gäller vid informationsutbyte mellan myndigheter i brottsutredningar respektive i underrättelseverksamhet. I propositionen gjordes bedömningen att en möjlighet för Tullverket att lämna ut uppgifter till övriga brottsbekämpande myndigheter genom direktåtkomst förutsatte att det infördes en sekretessbrytande uppgiftsskyldighet i förhållande till övriga myndigheter. Därför infördes en sådan sekretessbrytande bestämmelse i 2 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I betänkandet Kustbevakningens personuppgiftsbehandling (SOU 2006:18) har samma bedömning gjorts avseende Kustbevakningens möjlighet att lämna ut uppgifter.

Sekretess och uppgiftsskyldighet m.m. Ds 2007:43

228

Beredningen för rättsväsendets utveckling har i betänkandet Ett effektivare brottmålsförfarande – några ytterligare åtgärder (SOU 2005:117) föreslagit att sekretessen i 9 kap. 17 § sekretesslagen till skydd för enskilda inte ska gälla vid informationsutbyte mellan de brottsbekämpande myndigheterna. I betänkandet sägs att dessa myndigheter anser att den nuvarande regleringen inte är tillräckligt långtgående för att täcka det behov som myndigheterna har av att utbyta information med varandra (se s. 152 f.). Betänkandet bereds för närvarande inom Regeringskansliet (Justitiedepartementet).

Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för utlämnande av personuppgifter. En sådan bestämmelse har alltså inte någon självständig sekretessbrytande effekt; den är inte att se som en uppgiftsskyldighet enligt 14 kap. 1 § andra meningen sekretesslagen (se bl.a. prop. 2004/05:164 s. 83 och 2006/07:46 s. 80). Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den myndigheten direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av bestämmelser i sekretesslagen.

Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst lämnas. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. En förutsättning för att direktåtkomst ska kunna medges är således att åtkomsten endast avser antingen offentliga uppgifter eller uppgifter som får lämnas ut till mottagaren med stöd av någon sekretessbrytande bestämmelse.

Den dåvarande regeringen gjorde bl.a. i prop. 2004/05:164 såvitt gäller Tullverket den bedömningen att det krävs en tydlig

Ds 2007:43 Sekretess och uppgiftsskyldighet m.m.

229

sekretessbrytande reglering för att en myndighet utan risk för problem från sekretessynpunkt ska kunna medge andra brottsbekämpande myndigheter direktåtkomst, om direktåtkomsten ska avse annat än uppgifter som inte omfattas av sekretess. Denna bedömning har bärkraft även såvitt gäller uppgiftslämnande från polismyndigheterna. Det är därför nödvändigt att införa en sekretessbrytande regel i den nya lagen.

13.2 Sekretessgenombrott

Promemorians förslag: Utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 §sekretesslagen ska uppgifter som har gjorts gemensamt tillgängliga hos den öppna polisen och uppgifter i fingeravtrycks- eller signalementsregister kunna lämnas till Rikspolisstyrelsen, polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket, om myndigheten behöver uppgiften i sin brottsbekämpande verksamhet.

Uppgift om huruvida någon förekommer i register med uppgifter om DNA-analyser ska dock under samma förutsättningar lämnas ut endast till polis- och åklagarmyndigheter.

Bestämmelserna om sekretessgenombrott gäller även i förhållande till Säkerhetspolisen.

Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Regeringen meddelar föreskrifter om uppgiftslämnande för andra ändamål.

Utredningens förslag: Utredningen har föreslagit att uppgifter som behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet och uppgifter ur det allmänna spaningsregistret ska få lämnas ut till övriga brottsbekämpande myndighe-

Sekretess och uppgiftsskyldighet m.m. Ds 2007:43

230

ter, men endast om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder (se 3 och 4 §§ förslaget till förordning, SOU 2001:92, s. 209).

Remissinstanserna har inte haft någon invändning mot utredningens förslag.

Skälen för promemorians förslag

Sekretessgenombrott mellan de brottsbekämpande myndigheterna

För att skapa rättsliga förutsättningar för att polisens ska kunna medge direktåtkomst till uppgifter som gjorts gemensamt tillgängliga i dess brottsbekämpande verksamhet krävs, som nyss nämnts, att en sekretessbrytande regel införs. Frågan är då hur denna regel bör utformas.

Utredningens förslag tar enbart sikte på utlämnande av en viss typ av information, underrättelseinformation, och täcker således bara en del av behovet av informationsutbyte. Vidare ska sådan information enligt utredningens förslag bara kunna utbytas när den mottagande myndigheten själv har en pågående undersökning, dvs. bedriver viss underrättelseverksamhet, och dessutom krävs det att uppgiften kan antas ha betydelse för den undersökningen. Detta innebär sammantaget att förslaget ger alltför begränsat utrymme för informationsutbyte i underrättelseverksamheten och inget utrymme alls när det gäller andra viktiga delar av brottsbekämpningen, exempelvis brottsutredning. Förslaget kan därför inte läggas till grund för lagstiftningsarbetet.

Beredningen för rättsväsendets utveckling har i betänkandet SOU 2005:117 föreslagit att sekretessen enligt 9 kap. 17 § sekretesslagen inte ska gälla mellan åklagarmyndigheter, polismyndigheter, Tullverket, Kustbevakningen och Skatteverket. Bestämmelsen, som har utformats som en ovillkorlig rätt för nämnda myndigheter att ta del av uppgifter hos varandra, har

Ds 2007:43 Sekretess och uppgiftsskyldighet m.m.

231

under remissbehandlingen fått viss kritik av bl.a. Datainspektionen för de konsekvenser som den riskerar att få från integritetssynpunkt. Den har också kritiserats av Integritetsskyddskommittén för bristen på intresseavvägning. De brottsbekämpande myndigheterna har varit positiva till förslaget som sådant, men flera har haft invändningar mot den lagtekniska utformningen. Inte heller det förslaget bör därför läggas till grund för den nya regleringen.

Det ligger i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara generellt utformad, eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället göras i förväg. Med hänsyn till intresset av ett gott skydd för den personliga integriteten kan det emellertid ifrågasättas om ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna kan accepteras. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, finns det anledning att överväga om inte någon form av begränsning i den sekretessbrytande bestämmelsen bör göras.

Enligt 14 kap. 1 § sekretesslagen utgör sekretess inte hinder mot att uppgift lämnas med stöd av en uppgiftsskyldighet i lag eller förordning. En bestämmelse, som innebär att uppgifter som gjorts gemensamt tillgängliga hos polisen under en eller flera angivna förutsättningar ska lämnas till olika verksamhetsgrenar inom polisen och till övriga brottsbekämpande myndigheter, har således sekretessbrytande effekt enligt den nämnda bestämmelsen.

Eftersom uppgifter som omfattas av sekretess till skydd för enskilda kan vara mycket integritetskänsliga, är det viktigt att andra enheter inom polisen och andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de har behov av det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda enligt lag eller annan författning. Enligt vår bedömning bör just detta behov kunna utgöra det rekvisit som begränsar den sekretessbrytande bestämmelsen.

Sekretess och uppgiftsskyldighet m.m. Ds 2007:43

232

Eftersom den sekretessbrytande bestämmelsen ska möjliggöra direktåtkomst, måste sekretessprövningen göras innan direktåtkomsten beviljas. Sekretessprövningen kan därför inte vara alltför komplicerad. Den sekretessbrytande regeln måste således tillåta ett relativt brett sekretessgenombrott men i gengäld kommer den, som utvecklas närmare i det följande, att kompletteras med andra integritetsskyddande bestämmelser. Det sekretessgenombrott som föreslås i den nya lagen bör mot denna bakgrund endast vara villkorat av ett behovsrekvisit.

Då den föreslagna regeln har det uttryckliga syftet att tillåta frekvent utlämnande bör behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren har behov av får i ett sådant fall göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i de behov som typiskt sett föreligger. Personuppgifter som en myndighet typiskt sett inte har behov av bör alltså inte vara åtkomliga. Exempelvis får Skatteverkets brottsenheter typiskt sett anses ha behov av att få tillgång till uppgifter som rör ekonomisk brottslighet och andra brott som kan ha anknytning till sådan brottslighet (framför allt förmögenhetsbrott och vissa specialstraffrättsliga brott), medan dessa enheter mycket sällan torde ha behov av att ta del av uppgifter i t.ex. förundersökningar om brott mot person, brott mot allmänheten eller miljöbrott. När det gäller Tullverket kan myndigheten typiskt sett antas ha behov av bl.a. uppgifter om brott som rör varor som är förbjudna att föra in eller ut ur landet exempelvis narkotika, dopningsmedel och vissa typer av vapen. Detsamma gäller uppgifter om brott som rör ekonomisk brottslighet och andra brott med anknytning till sådana brott (jfr vad som sagts angående Skatteverkets behov). För Åklagarmyndighetens del kan en avgränsning inte bygga på brottstyper, eftersom åklagare har behov av alla typer av brottsutredningar. Där kan i stället t.ex. en avgränsning som begränsar tillgången till vissa typer av uppgifter vara tänkbar. Man kan t.ex. göra skillnad mellan uppgifter om brottsutredningar och andra uppgifter. Ekobrottsmyndighetens behov får bedömas med utgångspunkt i myndighetens verksamhetsområde, som är betyd-